6

JDK 1.7.0_80 中的 Thawte 根证书似乎已被吊销。 https://www.thawte.com/roots/retired.html

使用 7u80 jarsigner 不再有效,而且几天前还可以正常工作。

/usr/java/jdk1.7.0_80/jre/../bin/jarsigner -keystore /home/build/keystore.p12 -storepass storepass -storetype pkcs12 -tsa https://timestamp.geotrust.com/tsa /home/build/jenkins/workspace/my-gui/target/my-gui-3.0.29-SNAPSHOT.jar comp
jarsigner: unable to sign jar: javax.net.ssl.SSLHandshakeException: Remote host closed connection during handshake

删除旧证书后,我尝试将 Thawtes Timestamping CA 证书导入 cacerts。

wget https://www.thawte.com/roots/Thawte_Timestamping_CA.pem

/usr/java/jdk1.7.0_80/bin/keytool -import -trustcacerts -alias verisigntsaca -file Thawte_Timestamping_CA.pem -keystore jre/lib/security/cacerts 
Enter keystore password:  
Trust this certificate? [no]:  yes
Certificate was added to keystore

使用来自 JDK 8u60 的 jarsigner 有效,所以我尝试将其 cacerts 复制到 JDK7,但这也不起作用。

由于 Javadoc 错误,我们还不能用 Java 8 编译。我看到的唯一解决方案是在 JDK7 中创建到 JDK8 jarsigner 的符号链接。

/usr/java/jdk1.8.0_60/jre/../bin/jarsigner -keystore /home/build/keystore.p12 -storepass storepass -storetype pkcs12 -tsa https://timestamp.geotrust.com/tsa /home/build/jenkins/workspace/my-gui/target/my-gui-3.0.29-SNAPSHOT.jar comp
jar signed.

如果我将 tsa 从 geotrust 切换到 digicert,它适用于 JDK 7,因为它们不使用 https。 http://timestamp.digicert.com/

4

4 回答 4

10

我也只在过去 12 小时内遇到过这个问题。此问题与证书无关,而是与用于与时间戳服务器通信的协议有关。这将适用于 JDK7,但是您需要将以下内容添加到 jarsigner 命令

-J-Dhttps.protocols=TLSv1.2

因此,您的命令将如下所示:

/usr/java/jdk1.7.0_80/jre/../bin/jarsigner -J-Dhttps.protocols=TLSv1.2 -keystore /home/build/keystore.p12 -storepass storepass -storetype pkcs12 -tsa https://timestamp.geotrust.com/tsa /home/build/jenkins/workspace/my-gui/target/my-gui-3.0.29-SNAPSHOT.jar comp

GeoTrust 似乎已禁用 TLS 1.0 版,这是 Java 7 中的默认设置。以下链接提供了更多信息:

GeoTrust 合作伙伴:禁用传输层安全 (TLS) 版本 1.0 协议

诊断 TLS、SSL 和 HTTPS

希望这可以帮助。

于 2016-10-06T14:59:13.697 回答
2

user1638152 的回答绝对正确。如果有人遇到相同的问题并且使用 Apache Ant 完成 jar 签名,只需添加此信息。

在 signjar 任务中添加以下行:

<sysproperty key="https.protocols" value="TLSv1.2" />

这与命令行中的“-J-Dhttps.protocols=TLSv1.2”完全相同。

于 2016-10-31T14:23:10.460 回答
1

从 GeoTrust 链接看来,所有需求都是 TLSv1.1,从“诊断 TLS、SSL 和 HTTPS”链接看来,支持 TLSv1.1 的最早 Java 版本是 JDK 6 update 111。所以解决方案可能可以追溯到那些版本。

我还没有切换到 JDK 6 update 111 来测试这个;我正在等待那些被困在旧 Java 版本上的客户的来信,看看我们可以在不切断它们的情况下使用多么现代的 Java 版本。

附录:客户使用的是 JDK8,所以我只是切换到了它,如上所述,这不需要 -J-Dhttps.protocols=TLSv1.2 就可以工作,因为 TLSv1.2 是 JDK 8 的默认设置。

于 2016-10-07T16:00:37.867 回答
0

请记住,https ://timestamp.geotrust.com/tsa不再可用,您应该改用http://sha256timestamp.ws.symantec.com/sha256/timestamp

请参阅此http://timestamp.geotrust.com/tsa 不再可用于 SignTool?了解更多。

于 2017-05-23T08:19:04.817 回答