我正在四处寻找 Java代码签名证书,这样我的 Java 小程序就不会抛出如此可怕的安全警告。然而,我发现向他们提供的所有地方都收费(在我看来)太高了,比如每年超过 200 美元。在进行研究时,代码签名证书似乎与SSL证书几乎完全相同。
我的主要问题是:是否可以购买 SSL 证书,但用它来签署 Java 小程序?
问问题
18829 次
4 回答
39
简短的回答:不,它们是不同的。
长答案:它是同一种证书,它使用相同的加密软件,但证书有标志,表明它被允许用于什么。代码签名和 Web 服务器是不同的用途。
于 2008-09-17T01:19:21.633 回答
4
当我在 Firefox(等)中导入新的 CA 证书时,我可以选择使用我信任的证书:
- 签署服务器
- 签署代码(如您的小程序)
- 签署电子邮件证书
所以对我来说答案是:是的,它们是一样的。此外,为什么不使用OpenSSL (Unix 上的 man openssl、man x509、man req 等)生成自己的?你是想让警告安静下来,还是想让你从未见过的其他人信任你的代码?如果您不需要其他用户将信任链接到与他们的浏览器、操作系统等捆绑的锚 CA,则使用 OpenSSL 生成您自己的。
并询问“如何使用 OpenSSL 生成自己的证书?” 如果后者是您的选择。
于 2008-09-17T01:27:03.110 回答
1
Thawte在此处提供代码签名证书。我想其他证书颁发机构也提供这项服务。您还可以使用Java keytool创建自签名证书。
于 2008-09-17T01:27:39.117 回答
1
X.509 证书可能包括密钥使用字段(KU) 和扩展密钥使用字段(EKU)。描述如何为您的 RIA 创建签名的Oracle 技术说明会创建一个没有任何密钥使用标志的证书,它工作得很好(如果您可以让受信任的 CA 对其进行签名)
但是越来越多的 CA 颁发带有这些关键使用字段的证书。如果存在,这些字段会限制证书的使用。java 插件检查EndEntityChecker中是否存在这些字段:
/**
* Check whether this certificate can be used for code signing.
* @throws CertificateException if not.
*/
private void checkCodeSigning(X509Certificate cert)
throws CertificateException {
Set<String> exts = getCriticalExtensions(cert);
if (checkKeyUsage(cert, KU_SIGNATURE) == false) {
throw new ValidatorException
("KeyUsage does not allow digital signatures",
ValidatorException.T_EE_EXTENSIONS, cert);
}
if (checkEKU(cert, exts, OID_EKU_CODE_SIGNING) == false) {
throw new ValidatorException
("Extended key usage does not permit use for code signing",
ValidatorException.T_EE_EXTENSIONS, cert);
}
if (!SimpleValidator.getNetscapeCertTypeBit(cert, NSCT_SSL_CLIENT)) {
throw new ValidatorException
("Netscape cert type does not permit use for SSL client",
ValidatorException.T_EE_EXTENSIONS, cert);
}
// do not check Netscape cert type for JCE code signing checks
// (some certs were issued with incorrect extensions)
if (variant.equals(Validator.VAR_JCE_SIGNING) == false) {
if (!SimpleValidator.getNetscapeCertTypeBit(cert, NSCT_CODE_SIGNING)) {
throw new ValidatorException
("Netscape cert type does not permit use for code signing",
ValidatorException.T_EE_EXTENSIONS, cert);
}
exts.remove(SimpleValidator.OID_NETSCAPE_CERT_TYPE);
}
// remove extensions we checked
exts.remove(SimpleValidator.OID_KEY_USAGE);
exts.remove(SimpleValidator.OID_EXTENDED_KEY_USAGE);
checkRemainingExtensions(exts);
}
检查方法如下:
/**
* Utility method checking if the extended key usage extension in
* certificate cert allows use for expectedEKU.
*/
private boolean checkEKU(X509Certificate cert, Set<String> exts,
String expectedEKU) throws CertificateException {
List<String> eku = cert.getExtendedKeyUsage();
if (eku == null) {
return true;
}
return eku.contains(expectedEKU) || eku.contains(OID_EKU_ANY_USAGE);
}
因此,如果未指定 KU 或 EKU,KU 或 EKU 检查器会愉快地返回 true。
但
- 如果指定了 KU,则数字签名KU 应该是其中之一。
- 如果指定了任何 EKU,则还应指定 EKU代码签名(由 oid 1.3.6.1.5.5.7.3.3 标识)或 EKU任何用法(由 oid 2.5.29.37.0 标识)。
最后,该checkRemainingExtensions方法检查剩余的关键 EKU。唯一允许存在的其他关键 EKU 是
- 基本约束(oid "2.5.29.19")和
- 主题替代名称(oid 2.5.29.17)
如果它发现任何其他关键 EKU,则返回 false。
于 2014-12-28T13:17:33.560 回答