Избавиться от издателя "UNKNOWN" от предупреждения безопасности апплета

Я пытаюсь подписать апплет, чтобы издатель не отображался как " UNKNOWN":

Applet security warning showing an "UNKNOWN" publisher

Я работаю в организации, и у нас наш собственный центр сертификации, цепочка сертификатов: ORG Root CA > ORG Trusted Certification Authority > Yann39 (me: D )

Я запросил сертификат, и они предоставили мне ссылку, чтобы получить его в браузере. Затем я экспортировал его (из Firefox), чтобы получить файл PKCS # 12, который я назвал mystore.p12.

Затем я сделал следующее, чтобы подписать мой апплет:

/* TO KNOW THE ALIAS */
c:\testrep>keytool -list -storetype pkcs12 -keystore mystore.p12
Enter keystore password:  ********

Keystore type: pkcs12
Keystore provider: SunJSSE

Your keystore contains 1 entry

id de yann39, Oct 24, 2012, keyEntry,
Certificate fingerprint (MD5): D7:E3:83:1D:C1:40:68:72:5F:A8:6F:AC:3A:EA:DD:47

/* CREATE FAKE CLASS FILE AND BUILD A JAR */
c:\testrep>echo test > test.class
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jar cf0 test_applet.jar test.class

/* SIGN THE JAR */
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jarsigner -verbose -storetype pkcs12 -keystore mystore.p12 test_applet.jar "id de yann39"
Enter Passphrase for keystore: ********
 updating: META-INF/MANIFEST.MF
   adding: META-INF/ID_DE_YA.SF
   adding: META-INF/ID_DE_YA.RSA
  signing: test.class

/* VERIFY THE SIGNATURE */
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jarsigner -verify -verbose -certs test_applet.jar

         132 Wed Oct 24 17:49:52 CEST 2012 META-INF/MANIFEST.MF
         185 Wed Oct 24 17:49:52 CEST 2012 META-INF/ID_DE_YA.SF
        4801 Wed Oct 24 17:49:52 CEST 2012 META-INF/ID_DE_YA.RSA
           0 Wed Oct 24 17:48:36 CEST 2012 META-INF/
sm         0 Wed Oct 24 17:47:46 CEST 2012 test.class

      X.509, CN=Yann39, CN=794324, CN=myname, OU=Users, OU=Organic Units,
DC=myorg, DC=ch
      X.509, CN=ORG Trusted Certification Authority, DC=myorg, DC=ch
      X.509, CN=ORG Root CA, DC=myorg, DC=ch


  s = signature was verified
  m = entry is listed in manifest
  k = at least one certificate was found in keystore
  i = at least one certificate was found in identity scope

jar verified.

c:\testrep>

Затем я загрузите приложение в мое приложение, используя следующее:

<object id="mytestapplet" width="0" height="0" style="position:absolute" type="application/x-java-applet">
<param name="archive" value="https://myhost.ch/rep/test_applet.jar">
<param name="code" value="test">
<param name="scriptable" value="true">
<param name="mayscript" value="no">
</object>

Я прочитал несколько сообщений вроде этого: Как подписать java-апплет с .pfx файлом? и кажется Мне нужно smi при проверке подписанного файла из банки, а не только sm, что означает, что сертификат не найден в хранилище ключей.

Итак Я думал, что цепочка сертификатов не была полной, но при запуске следующей команды я увидел, что это не так.:

c:\testrep>keytool -list -v -storetype pkcs12 -keystore mystore.p12
Enter keystore password:  ********

Keystore type: pkcs12
Keystore provider: SunJSSE

Your keystore contains 1 entry

Alias name: id  de yann39
Creation date: Oct 24, 2012
Entry type: keyEntry
Certificate chain length: 3
Certificate[1]:
Owner: CN=Yann39, CN=794324, CN=myname, OU=Users, OU=Organic Units,
    DC=myorg, DC=ch
Issuer: CN=ORG Trusted Certification Authority, DC=myorg, DC=ch
Serial number: 12d21eb200200000a02b
Valid from: Mon Jun 25 14:16:00 CEST 2011 until: Wed Jun 24 14:16:00 CEST 2013
Certificate fingerprints:
         MD5:  D7:E3:83:1D:C1:41:78:72:5F:A8:6D:BD:3A:ED:DD:48
         SHA1: 24:31:1D:25:02:98:0D:F8:28:6A:F1:0E:E8:BB:04:7E:51:E2:E9:66
Certificate[2]:
Owner: CN=ORG Trusted Certification Authority, DC=myorg, DC=ch
Issuer: CN=ORG Root CA, DC=myorg, DC=ch
Serial number: 601fab4c000000000003
Valid from: Tue Oct 02 11:36:53 CEST 2006 until: Mon Oct 02 11:47:53 CEST 2016
Certificate fingerprints:
         MD5:  51:A1:EA:33:21:2C:71:60:A1:6F:F1:22:92:A8:51:8D
         SHA1: 66:CD:70:13:27:68:F3:C2:08:F3:BE:5F:BF:D4:17:BD:85:9D:10:65
Certificate[3]:
Owner: CN=ORG Root CA, DC=myorg, DC=ch
Issuer: CN=ORG Root CA, DC=myorg, DC=ch
Serial number: 7dc0d089138d1d804b2e68e21b947412
Valid from: Tue Oct 02 10:55:19 CEST 2006 until: Sat Oct 02 11:01:47 CEST 2026
Certificate fingerprints:
         MD5:  A2:CE:DC:7D:F5:60:D7:2C:5E:B5:29:74:9D:51:F9:49
         SHA1: DA:D8:7F:63:95:90:A2:E4:D4:1D:B9:48:FD:F4:C3:5C:FC:2B:B6:A3


*******************************************
*******************************************



c:\testrep>

Цепочка кажется хорошей.

Но я еще получает предупреждение безопасности с "UNKNOWN" Publisher. Почему?

EDIT 25-OCT-2012

Я забыл сказать, что он работает с использованием Internet Explorer ( "Подпись проверена", а Publisher - "Yann39" ), не используя Chrome или Firefox.

Я попытался использовать самоподписанный сертификат:

keytool -genkey -alias myalias -storetype PKCS12 -keystore mykeystore.p12 -dname "cn=Yann39, ou=UN, o=ORG, st=Geneva, c=CH"
keytool -list -v -storetype pkcs12 -keystore mykeystore.p12
echo test > test.class
C:\oracle\dev10gr2\jdk\bin\jar cf0 myapplet.jar test.class
C:\oracle\dev10gr2\jdk\bin\jarsigner -verbose -storetype pkcs12 -keystore mykeystore.p12 myapplet.jar "myalias"
C:\oracle\dev10gr2\jdk\bin\jarsigner -verify -verbose -certs myapplet.jar

Он не работает ни в IE, ни в Firefox или Chrome, нормальный.

Я попытался добавить 2 доверенных сертификата из своей организации, но не удалось:

keytool -import -alias "myalias_root" -file ORGRooTCA.crt -storetype pkcs12 -keystore mykeystore.p12
keytool -import -alias "myalias_auth" -file ORGTrustedCertificationAuthority.crt -storetype pkcs12 -keystore mykeystore.p12

с ошибкой:

keytool error: java.security.KeyStoreException: TrustedCertEntry not supported

Я все еще не понимаю, почему он говорит, что сертификат не был найден в хранилище ключей (sm) при проверке подписи.

EDIT 02-NOV-2012

Наконец-то я получил ответ от своего Центра сертификации. Поскольку сертификаты подписи кода предоставляются только для тестирования (официально не поддерживаются в нашей организации), они не предоставляют никакой помощи, и они закрыли мой билет...

В трех браузерах (IE, Firefox, Chrome) доверяют 2 сертификата ORG Root CA и доверенного центра сертификации ORG. При запуске моего апплета я все еще получаю ожидаемый результат в IE:

Но не в Firefox и Chrome:

Еще одна странная вещь: вы видите, что IE ссылается как "Имя" на идентификатор тега <object>, используемого в HTML (applettest), в то время как Firefox и Chrome ссылаются на имя основного класса (тест).

Я думаю, что это то же самое в Publisher, IE смотрит на CN RDN (Yann39), в то время как Firefox и Chrome смотрят на O RDN и не могут найти его, поскольку он не определен в моем сертификате.

Если у кого-то есть дополнительная информация о том, как браузеры проверяют сертификаты, пожалуйста, поделитесь им.

Спасибо.

Ответы

Ответ 1

Если у вас есть собственный СА и подписываются апплеты с сертификатами, выпущенными этим ЦС, то вам, очевидно, необходимо добавить этот сертификат ЦС в список доверенных органов сертификации.

При запуске внутри IE плагин Java, похоже, может использовать системный список ЦС, поэтому вам просто нужно добавить сертификат ЦС в хранилище системного сертификата (обязательно вручную выберите назначение сертификата в качестве доверенного ЦС во время импорта).

При запуске внутри Chrome или Firefox плагин Java по какой-то причине не использует системное хранилище сертификатов, а только собственное хранилище сертификатов. Вы получите предупреждение об отсутствии безопасности с издателем "UNKNOWN" при запуске апплета в этих браузерах, если сертификат CA отсутствует в хранилище сертификатов плагина Java, независимо от того, находится ли он в хранилище сертификатов системы "доверенный ЦС".

Чтобы добавить сертификат в хранилище плагинов Java:

  • открыть панель управления Java
  • выберите вкладку "Безопасность"
  • нажмите кнопку "Управление сертификатами...".
  • выберите опцию "Signer CA" в комбинированном поле "Тип сертификата".
  • импортировать сертификат CA

В следующий раз, когда вы используете Chrome или Firefox для запуска вашего апплета, у вас будет нормальное "безопасное" предупреждение о безопасности с возможностью верить этому апплеты навсегда.

Ответ 2

Перед подписанием необходимо добавить сертификаты CA (вплоть до корневого ЦС) в файл p12.

Ответ 3

Я попытался добавить два доверенных сертификата из своей организации, но это не удалось:

Emm... все кажется довольно неясным, потому что вы демонтируете процесс подписи с момента импорта сертификатов...

Я попытался использовать самоподписанный сертификат. Он не работает ни в IE, ни в Firefox, ни в Chrome, нормально. Я попытался добавить 2 доверенных сертификаты из моей организации, но это не удалось:

Конечно, это провалилось. Поскольку вы не можете импортировать сертификаты, чтобы получить цепочку для неоригинальных ключей. И вернемся к вашему тестовому делу...

Все, что я вижу в вашем тестовом примере:

  • A) Возможно, вы, возможно, myalias или, возможно, myalias_root и myalias_auth - укажите более подробную информацию здесь
  • B) Вы пытаетесь импортировать ORGRooTCA и ORGTrustedCertificationAuthority
  • C) Вы пытаетесь подписать тестовую банку

На шаге B Вы пытаетесь импортировать 2 сертификата. Поэтому я должен спросить

  • Были два сертификата, сгенерированные с помощью myalias_root и
    myalias_auth CSR (s)?

Если бы это было не так, я полагаю, вы просто пропустили несколько шагов следующим образом:

  • A) Gen myalias_root и myalias_auth (ы)
  • B) Генерация CSR myalias_root _root и myalias_auth
  • C) Gen certs ORGRooTCA и ORGTrustedCertificationAuthority с помощью myalias_root и
    myalias_auth CSR (s)
  • D) импортируйте сертификаты как ORGRooTCA и ORGTrustedCertificationAuthority, чтобы получить цепочку
  • E) Попробуйте подписать тестовую банку

И еще раз...

Я попытался добавить два доверенных сертификата из своей организации, но это не удалось:

В результате я могу посоветовать вам

  • A) Получите не только сертификаты от вашей организации, но и ее keystore сертификаты были созданы
  • B) Или создайте свои собственные ключи и свои сертификаты, следуя ранее упомянутые шаги ABCDE:)

Я попросил сертификат, и они предоставили мне ссылку, чтобы браузера. Затем я экспортировал его (из Firefox), чтобы получить файл PKCS # 12 что я назвал mystore.p12.

Вы вручную импортировали его, а затем экспортировали его, как описано здесь?

ОК... это довольно интересно. Если вы все еще уверены в том, что все в вашем pfx правильно: S все же я снова воспроизвожу ваш jarsigner с помощью демонстрации. Итак, вы подписываете test_applet.jar как

/* SIGN THE JAR */
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jarsigner -verbose -storetype pkcs12 -keystore mystore.p12 test_applet.jar "id de yann39"
Enter Passphrase for keystore: ********
 updating: META-INF/MANIFEST.MF
   adding: META-INF/ID_DE_YA.SF
   adding: META-INF/ID_DE_YA.RSA
  signing: test.class

... это довольно стандартный способ подписания, но я хочу указать немного деталей... Я не вижу, где jarsigner требует для ввода секретного ключа id id yan39 : S? Все, что я вижу, вы только вводите пароль хранилища ключей... Является ли шаг, пропущенный в вашей версии для копирования-вставки или jarsigner, действительно не требует ввода пароля ключа?

Как испытание, я рекомендую вам попробовать подписать свою банку, используя -keypass arg как (см. пример)

jarsigner -keystore C:\working\mystore -storepass myspass
      -keypass dukekeypasswd MyJarFile.jar duke

Подробнее см. как использовать jarsigner docs...

Я не внес никаких изменений в сертификат, так что да, я думаю, это оригинальный закрытый ключ? О вашем редактировании: да, я экспортировал его, как описано в вашей ссылке, но я использовал "backup all", а не только "backup", иначе я не получить целую цепочку сертификатов в моем файле .p12. О подписании .jar, я ничего не пропускаю, jarsigner только спрашиваю меня пароль хранилища ключей. Я думаю, пароль хранилища ключей и пароль секретного ключа одинаковы,

Если вы сгенерировали ключи в хранилище ключей с помощью keytool, вы должны знать, что у хранилища ключей есть свой пароль, а недавно созданный закрытый ключ должен иметь свой собственный пароль; Поэтому я предполагаю, что, возможно, здесь чего-то не хватает: S Было бы интересно, чтобы вы A) импортировали ваш pfx в IE и экспортировали его в IE, как описано здесь: так как инструкции "Да экспортировать закрытый ключ" + "Включить все сертификаты в путь сертификации, если возможно"

P.S. Прокомментируйте, если это было полезно

Ответ 4

То же странное сообщение "UNKNOWN" появилось, когда я изменил свой сертификат подписи. Я импортировал сертификат моего подписания хранилища ключей в cacerts (так, чтобы мой самоподписанный банку был принят), но в кеше java хранился старый jarfile. Затем при запуске "старого" апплета с "новым" сертификатом появилось сообщение, подобное приведенному выше.

Решение: очистите кеш java (через панель управления java или javaws -uninstall).

Это на всякий случай, когда кто-то (например, я) наткнулся на этот поток, ища это сообщение об ошибке.