4

我注意到在 keytool 文档中它显示“jarsigner [...] 检查该证书的公钥是否'受信任',即是否包含在指定的密钥库中。” 而 jarsigner 手册页指出“验证 [...] 时不需要密钥库”,并且该实用程序将始终根据 jar 提供的证书进行验证。在我看来,这会破坏目的,因为它只会证明罐子在签署后没有被改变,但不能证明它是由某个特定的权威/供应商签署的。

如果用于签署 jar 的证书在运行时系统上未知/受信任,是否有某种方法使验证失败?或者我是否必须使用脚本调用 jarsigner -verify -verbose -keystore ...并解析输出以查看本地(运行时)密钥库中是否存在签名证书条目?

困惑,彼得

4

1 回答 1

0

jarsigner实用程序对于 JAR 签名验证毫无用处,因为它不验证签名者证书,不检查签名上的可信时间戳并且不提供可用结果(解析控制台输出不是一个好的解决方案)。

为了避免这种限制,我们选择编写自己的verify_jar实用程序。

于 2012-06-14T06:38:44.323 回答