使用 JWS 部署的受信任证书对 jar 文件进行签名

[2017年更新]来自Certum的开源代码签名现在使用加密闪存卡作为私钥，并且必须插入证书激活和安装以及代码签名。密钥成本为125美元（+运费），仅1年证书的费用为40美元。您可以要求折扣。

以下是从头开始对 jar 文件进行签名的步骤。

指示

英文说明很难找到，而且不是最新的。以下过程基于以下 2 个文档：

• 安装和激活的部分说明（英语） - 缺少有关文件“bundle.pem”的部分。
• 完整的安装和激活说明（波兰语）

创建、激活和安装证书：

1. 访问“Certum 认证”网站的“开源代码签名”部分，订购证书。
2. 收到加密闪存卡后（对我来说花了15天），请插入它，从卡中安装驱动程序和proCertum CardManager软件。
3. 转到您的 Certum 帐户，然后按照新订购的证书的激活过程进行操作。

提示：CryptoAgent Java Web Start 应用程序仅使用 JDK（不是 JRE）< 9（即 JDK 7 或 8）运行。

4. 您将收到一封邮件，要求您提供一些官方文件（身份证，租金账单等）和电子邮件验证程序。
5. 发送激活所需的文档和信息。您将收到另一封要求安装证书的邮件（验证在 1 小时内完成）。
6. 按照将证书存储在卡上的过程在加密卡上安装证书（请参阅英文说明，第 4 部分）

获取文件“bundle.pem”

在对应用程序进行签名时，此文件对于获取有效的证书链是必需的（请参阅波兰语说明中的第 7.1.2 部分）。

基本上，它包括以纯文本格式文件1）您的证书和2）Certum代码签名CA SHA2公钥进行连接。

1. 打开 proCertum CardManager >> 读取卡>> 选项卡 常见 >> 选择您的证书，然后单击“显示详细信息”
2. 导出证书：x509 - base-64
3. 下载 PEM 格式的 Certum 代码签名 CA SHA2（从 Certum 的根证书列表中）。
4. 通过连接这两个证书（首先是您的证书，其次是 Certum 证书）来创建文本文件“bundle.pem”。

使用 Jarsigner 对 jar 文件进行签名

1. 按照英语说明的第 7.2 点所述创建“提供程序.cfg”文件。
2. 您需要证书的别名（而不是所有者名称）来对 jar 进行签名。要获取它，请执行以下命令：

keytool -list -v -keystore NONE -storetype PKCS11 -providerClass sun.security.pkcs11.SunPKCS11 -providerArg "provider.cfg" -storepass "[your_pin]"

3. 准备好别名、提供程序.cfg和 bundle.pem 文件后，只需使用以下命令对 jar 进行签名即可：

jarsigner -keystore NONE -certchain "bundle.pem" -tsa "http://time.certum.pl" -storetype PKCS11 -providerClass sun.security.pkcs11.SunPKCS11 -providerArg "provider.cfg" -storepass "[your_pin]" "[your_code].jar" "[your_alias]"

就个人而言，我使用 Ant 脚本对我的应用程序 jar 文件进行签名。请参阅 ANT 项目中的 signjar 任务。

我想我终于按照这个程序做到了：

• 通过Certum的网站界面在Chrome中安装了Certum提供的证书
• 从Chrome将私钥导出为.pfx（设置，管理证书，导出，导出私钥，PKCS#12等）
• 使用KeyTool GUI（用于keytools的Java前端GUI）创建完整的p12：导入Certum根证书作为可信证书，导入中间证书作为可信证书，导入我的.pfx作为密钥对
• 用这个p12签名罐子

似乎对我有用，我正在等待其他用户的反馈，以确保它也适合他们。

编辑：我再次尝试从Chrome导出证书，我看到有一个选项可以在导出中包含证书链。在执行此操作时，我甚至不需要在之后使用KeyTool GUI。我已经重新部署了用这个新的p12签名的测试版本：

• 通过Certum的网站界面在Chrome中安装了Certum提供的证书
• 从Chrome将私钥导出为.pfx（设置，管理证书，导出，导出私钥，PKCS#12 +包含证书链等）
• 用这个p12签名罐子