问题标签 [certificate]

我正在四处寻找 Java代码签名证书，这样我的 Java 小程序就不会抛出如此可怕的安全警告。然而，我发现向他们提供的所有地方都收费（在我看来）太高了，比如每年超过 200 美元。在进行研究时，代码签名证书似乎与SSL证书几乎完全相同。

我的主要问题是：是否可以购买 SSL 证书，但用它来签署 Java 小程序？

I have a webservice that that uses message layer security with X.509 certificates in WSE 3.0. The service uses a X509v3 policy to sign various elements in the soapheader.

I need to do some custom checks on the certificates so I've tried to implement a custom X509SecurityTokenManager and added a section in web.config.

When I call the service with my Wseproxy I would expect a error (NotImplementedException) but the call goes trough and, in the example below, "foo" is printed at the console.

The question is: What have missed? The binarySecurityTokenManager type in web.config matches the full classname of RDI.Server.X509TokenManager. X509TokenManager inherits from X509SecurityTokenManager (altough methods are just stubs).

The first few lines of my web.config, edited for brevity

(Btw, how do one format xml nicely here at stackoverflow?)

I'm stuck at .NET 2.0 (VS2005) for the time being so I presume WCF is out of the question, otherwise interoperability isn't a problem, as I will have control of both clients and services in the system.

我的服务器上安装了给定的证书。该证书具有有效日期，并且在 Windows 证书 MMC 管理单元中似乎完全有效。

但是，当我尝试读取证书时，为了在 HttpRequest 中使用它，我找不到它。这是使用的代码：

xxx是序列号；该参数的true意思是“只有有效的证书”。返回的集合为空。

奇怪的是，如果我通过了false，表明可以接受无效证书，则该集合包含一个元素——具有指定序列号的证书。

结论：证书看似有效，但该Find方法将其视为无效！为什么？

您如何枚举商店中证书帮助的字段。具体来说，我正在尝试枚举颁发给登录用户的个人证书的字段。

我正在服务之间构建一些路由功能。原始服务和做路由的服务具有相同的配置；两者都使用具有以下绑定配置的 netTcpBinding：

netTcpBinding

安全模式="消息"

消息 clientCredentialType="用户名"

服务行为使用我们在机器上安装的 AspNet Membership Provider 和客户端证书。

当我关闭消息安全时，它会很好地中继，但是当它打开时，我得到以下异常：

“无法处理消息。这很可能是因为操作 ' http://foo/Whatever ' 不正确，或者因为消息包含无效或过期的安全上下文令牌，或者因为绑定之间不匹配*。安全如果服务由于不活动而中止通道，则上下文令牌将无效。为了防止服务过早中止空闲会话，请增加服务端点绑定的接收超时。（强调我的）

我的想法是证书在消息上运行了两次（一次在原始调用上，然后在中继上），这就是破坏消息安全令牌的原因。

问题：

1. 我的想法有目标吗？

2. 有没有办法在没有令牌服务复杂性的情况下继续使用消息安全进行路由？

我的 Mac 钥匙串中只有代码签名扩展（没有其他扩展）的自签名根证书；我用它来签署所有来自∞实验室的代码，使用 Apple 的代码设计工具，它工作得很好。

我正在寻求扩展自己并进行一些 Java 开发。我知道Apple提供了一个从钥匙串中读取的KeyStore实现，我可以列出我在'链中拥有的所有证书：

但是，每当我尝试使用 jarsigner 来签署一个简单的测试 JAR 文件时，我都会得到：

我究竟做错了什么？

（证书是按照Apple 获取签名身份的说明创建的。）

我已经为 Firefox 开发了几个扩展，但我很生气，很难让扩展签名。当扩展程序未签名时，它会在安装时显示“作者未验证”，对我来说这看起来是错误的。

我有一个简单的构建脚本，可以从源代码构建我的 .xpi 文件，并且我有 PKZip 的许可副本（根据许多教程，它需要构建 Firefox 所需的签名 xpi 文件），但我还没有找到一种获得实际有效的免费/廉价证书的方法或一组可以解决问题的说明。

由于我的扩展是免费的，我不想花 400 美元购买商业证书，但我不介意花 50 美元左右来完成它。我同时拥有 Linux 和 Windows 机器，尽管我的构建脚本当前使用的是 Windows 并且使用起来最方便。

你是怎么解决这个问题的？在构建扩展时，我需要做什么来自动安全地签署我的扩展？

编辑：我很欣赏谷歌的点击，但他们提供的步骤在如何真正获得有效的证书方面还不够完整。我得到的感觉让我想起了这个经典：

我正在尝试使用从我的另一台服务器复制的 NSS cert db（cert8.db 和 key3.db）在 linux（无 gui）上签署 XPI，我可以在其上签署 XPI 就好了。

在新盒子上我可以用全新的测试证书签名，但是当我尝试使用旧的证书数据库时，它会抱怨：

signtool：问题签名数据（未知发行者）

Certutil 列出了我试图与 * 一起使用的证书，并且 CA 也存在于其中。

这个证书数据库可以在这样的计算机之间传输吗？还是我必须设置其他文件？

TIA 迈克

我正在查看我为通过 HTTPS 进行安全通信而继承的一些客户端代码，它似乎没有检查服务器证书中的公用名（例如，'CN = "example.com"' 与实际 URL被请求。这可能是故意的，因为我们的客户端应用程序需要与各种环境对话，因此在联系初始门户（例如 example.com/main）并且用户选择环境后，应用程序将被重定向到特定 IP，所以所有未来的请求看起来都像“ http://127.0.0.1/page ”。

但是，作为 SSL 新手，我不确定禁用此检查的含义。我的第一反应是执行某种中间人攻击会更容易，因为其他人可以复制我们的证书并假装是我们的服务器之一。但是，如果我们进行通用名称检查，那么无论如何您都可以使用自定义 DNS 设置来做同样的事情，所以它似乎并没有真正为我们带来任何好处。是否还有其他攻击让我们敞开心扉，否则我们不会受到攻击？

谢谢

任何推荐的 Java 加密库。我需要的是解析 X.509 证书以提取其中包含的信息的能力。

谢谢