アプレットのセキュリティ警告から「不明」パブリッシャーを取り除く

アプレットに署名して、-publisherが "[〜＃〜] unknown [〜＃〜]"と表示されないようにします：

私は組織で働いており、私たち自身の証明機関、証明書チェーンは次のとおりです：ORGルートCA> ORG信頼できる証明機関> Yann39 （私：D）

証明書をリクエストすると、ブラウザにアクセスするためのリンクが提供されました。次に、それを（Firefoxから）エクスポートして、mystore.p12という名前のPKCS＃12ファイルを取得しました。

次に、sign my appletを実行しました。

/* TO KNOW THE ALIAS */
c:\testrep>keytool -list -storetype pkcs12 -keystore mystore.p12
Enter keystore password:  ********

Keystore type: pkcs12
Keystore provider: SunJSSE

Your keystore contains 1 entry

id de yann39, Oct 24, 2012, keyEntry,
Certificate fingerprint (MD5): D7:E3:83:1D:C1:40:68:72:5F:A8:6F:AC:3A:EA:DD:47

/* CREATE FAKE CLASS FILE AND BUILD A JAR */
c:\testrep>echo test > test.class
c:\testrep>C:\Oracle\dev10gr2\jdk\bin\jar cf0 test_applet.jar test.class

/* SIGN THE JAR */
c:\testrep>C:\Oracle\dev10gr2\jdk\bin\jarsigner -verbose -storetype pkcs12 -keystore mystore.p12 test_applet.jar "id de yann39"
Enter Passphrase for keystore: ********
 updating: META-INF/MANIFEST.MF
   adding: META-INF/ID_DE_YA.SF
   adding: META-INF/ID_DE_YA.RSA
  signing: test.class

/* VERIFY THE SIGNATURE */
c:\testrep>C:\Oracle\dev10gr2\jdk\bin\jarsigner -verify -verbose -certs test_applet.jar

         132 Wed Oct 24 17:49:52 CEST 2012 META-INF/MANIFEST.MF
         185 Wed Oct 24 17:49:52 CEST 2012 META-INF/ID_DE_YA.SF
        4801 Wed Oct 24 17:49:52 CEST 2012 META-INF/ID_DE_YA.RSA
           0 Wed Oct 24 17:48:36 CEST 2012 META-INF/
sm         0 Wed Oct 24 17:47:46 CEST 2012 test.class

      X.509, CN=Yann39, CN=794324, CN=myname, OU=Users, OU=Organic Units,
DC=myorg, DC=ch
      X.509, CN=ORG Trusted Certification Authority, DC=myorg, DC=ch
      X.509, CN=ORG Root CA, DC=myorg, DC=ch


  s = signature was verified
  m = entry is listed in manifest
  k = at least one certificate was found in keystore
  i = at least one certificate was found in identity scope

jar verified.

c:\testrep>

次に、以下を使用してアプリケーションでappledをロードします。

<object id="mytestapplet" width="0" height="0" style="position:absolute" type="application/x-Java-applet">
<param name="archive" value="https://myhost.ch/rep/test_applet.jar">
<param name="code" value="test">
<param name="scriptable" value="true">
<param name="mayscript" value="no">
</object>

私はこのようないくつかの投稿を読みます： 署名方法Java .pfxファイルを使用したアプレット？ そしてそれはI should getsmiは、jarから署名されたファイルを検証するときに、smだけでなく、証明書がキ​​ーストアに見つからなかったことを意味します。

だから証明書チェーンは完全ではないと思ったですが、次のコマンドを実行すると、-そうではないことがわかりました：

c:\testrep>keytool -list -v -storetype pkcs12 -keystore mystore.p12
Enter keystore password:  ********

Keystore type: pkcs12
Keystore provider: SunJSSE

Your keystore contains 1 entry

Alias name: id  de yann39
Creation date: Oct 24, 2012
Entry type: keyEntry
Certificate chain length: 3
Certificate[1]:
Owner: CN=Yann39, CN=794324, CN=myname, OU=Users, OU=Organic Units,
    DC=myorg, DC=ch
Issuer: CN=ORG Trusted Certification Authority, DC=myorg, DC=ch
Serial number: 12d21eb200200000a02b
Valid from: Mon Jun 25 14:16:00 CEST 2011 until: Wed Jun 24 14:16:00 CEST 2013
Certificate fingerprints:
         MD5:  D7:E3:83:1D:C1:41:78:72:5F:A8:6D:BD:3A:ED:DD:48
         SHA1: 24:31:1D:25:02:98:0D:F8:28:6A:F1:0E:E8:BB:04:7E:51:E2:E9:66
Certificate[2]:
Owner: CN=ORG Trusted Certification Authority, DC=myorg, DC=ch
Issuer: CN=ORG Root CA, DC=myorg, DC=ch
Serial number: 601fab4c000000000003
Valid from: Tue Oct 02 11:36:53 CEST 2006 until: Mon Oct 02 11:47:53 CEST 2016
Certificate fingerprints:
         MD5:  51:A1:EA:33:21:2C:71:60:A1:6F:F1:22:92:A8:51:8D
         SHA1: 66:CD:70:13:27:68:F3:C2:08:F3:BE:5F:BF:D4:17:BD:85:9D:10:65
Certificate[3]:
Owner: CN=ORG Root CA, DC=myorg, DC=ch
Issuer: CN=ORG Root CA, DC=myorg, DC=ch
Serial number: 7dc0d089138d1d804b2e68e21b947412
Valid from: Tue Oct 02 10:55:19 CEST 2006 until: Sat Oct 02 11:01:47 CEST 2026
Certificate fingerprints:
         MD5:  A2:CE:DC:7D:F5:60:D7:2C:5E:B5:29:74:9D:51:F9:49
         SHA1: DA:D8:7F:63:95:90:A2:E4:D4:1D:B9:48:FD:F4:C3:5C:FC:2B:B6:A3


*******************************************
*******************************************



c:\testrep>

チェーンは良さそうです。

しかし、私はstill"UNKNOWN" Publisherでsecurity warningを取得します。 理由？

2012年10月25日編集

Internet Explorerを使用して動作します（「署名は確認されました」で、発行元は「Yann39」です）ChromeまたはFirefoxを使用していません）。

自己署名証明書を使用してみました：

keytool -genkey -alias myalias -storetype PKCS12 -keystore mykeystore.p12 -dname "cn=Yann39, ou=UN, o=ORG, st=Geneva, c=CH"
keytool -list -v -storetype pkcs12 -keystore mykeystore.p12
echo test > test.class
C:\Oracle\dev10gr2\jdk\bin\jar cf0 myapplet.jar test.class
C:\Oracle\dev10gr2\jdk\bin\jarsigner -verbose -storetype pkcs12 -keystore mykeystore.p12 myapplet.jar "myalias"
C:\Oracle\dev10gr2\jdk\bin\jarsigner -verify -verbose -certs myapplet.jar

IEでも、FirefoxやChromeでも正常に機能しません。

私の組織から2つの信頼できる証明書を追加しようとしましたが、失敗しました：

keytool -import -alias "myalias_root" -file ORGRooTCA.crt -storetype pkcs12 -keystore mykeystore.p12
keytool -import -alias "myalias_auth" -file ORGTrustedCertificationAuthority.crt -storetype pkcs12 -keystore mykeystore.p12

エラーあり：

keytool error: Java.security.KeyStoreException: TrustedCertEntry not supported

署名の検証時に証明書がキ​​ーストア（sm）で見つからなかったと表示される理由がまだわかりません。

2012年11月2日編集

証明機関からようやく返信がありました。コード署名証明書はテストのためにのみ提供されているため（私たちの組織では正式にサポートされていません）、それらは何の助けも提供せず、私のチケットを閉じました...

2つの証明書ORG Root CAおよびORG Trusted Certification Authorityは、3つのブラウザー（IE、Firefox、Chrome）で信頼されています。アプレットを実行しても、期待どおりの結果がIE：

• 名前：applettest
• 発行元：Yann39
• From： https://myhost.ch

しかし、FirefoxとChrome=ではありません：

• 名前：テスト
• 発行元：不明
• From： https://myhost.ch

もう1つの奇妙なことは、IEがHTMLで使用されている<object>タグのIDを「名前」として参照していることです（applettest）、FirefoxとChrome=はメインクラスの名前を参照しています（test））。

発行元、IEはCN RDN（ Yann39）FirefoxとChrome=はO RDNを調べており、私の証明書に定義されていないため、それを見つけることができません。

ブラウザーが証明書をチェックする方法に関する詳細情報を誰かが持っている場合は、共有してください。

ありがとう。