Jar signieren

[Empire Phoenix]

Hi, ich habe ein jar die ich für webstart signieren muss, jedoch möchte ich nicht, dass es die übliche Warnung von selbst generierten Certificaten gibt.

Daher folgende fragen:
Was für erfahrungen habt ihr mit gekaufen certificaten?
Und kann ich Certificate die Ich für ssl auf meiner Website benutzen möchte auch zum signieren benutzen? (möchte wenn möglich gleich 2 fliegen mit einer Klatsche schlagen)

 

[TheRealSpikee]

NEIN !
Ein SSL-Zertifikat hat *laut CA-Spec* ein FLAG welches angibt das es nur für SSL verwendet werden kann / darf ... du kannst daraus kein CODE-Cert machen da dies den Hash und damit die Gültigkeit verändern würde.
Wenn du also ein Code-Cert willst musst du dir auch ein Code-Cert kaufen oder eben ein CA-Cert was es dir ermöglicht eine eigene Cert-Chain zu erstellen und dann selbst die FLAGs setzen.
OB und wenn ja WER dir ein CA-Cert austellt mit dem du ALLES machen kannst um eine eigene Cert-Chain aufzubauen weis ich nicht da ich selbst auf der Suche danach bin.
Es wird sicher einige Anbieter geben ... jedoch spuckt GooGLe dazu nur sehr wenig aus.

 

[Spacerat]

Vllt. spuckt Google darüber nur so wenig aus, weil es sich dabei um "Sonderwünsche" handelt und zwar Sonderwünsche, die eigentlich recht wenig Sinn machen, weil für den Fall, dass ein Multi-Cert doch mal geknackt werden sollte, ein weites Spektrum an Vertrauen dahin ist, statt nur das einer Sparte. Sicher, der Verwendungszweck eines solchen Certs wird durch Flags gekennzeichnet und möglicherweise lassen sich auch gleich mehrere dieser Flags setzen. Einfach mal nachfragen, würd' ich vorschlagen.

 

[TheDarkRose]

Ich würde immer ein eigenes seperates Object-signing Zertifikat beantragen, das für nichts anderes genutzt werden kann. Schon allein, falls es mal verloren/kompromittiert/whatever geht.

Edit: Ein eigenes CA-Cert wirste höchsten für ein paar 100.000$ bekommen. Darunter kannst es vergessen.

 

[Manuela]

Hallo
da musst du nur in deine launch.jnlp datei

[XML]
<security>
<all-permissions/>
</security>
[/XML]

einfügen dann sollte es gehen.

Gruß Manuela

 

[L-ectron-X]

Nee, diese Zeile beantragt nur die vollen (alle) Rechte auf dem System, die die Anwendung aber nur bekommt, wenn sie entsprechend signiert wurde.
Der Sicherheitsdialog trotzdem noch erhalten.

 

[hansmueller]

Hallo,

meines Wissens nach kann man diesen Sicherheitsdialog auch gar nicht verhindern.
Wenn man ein gekauftes Zertifikat hat, soll dieser nur "freundlicher" ausfallen.

Nur Sun bzw. jetzt Oracle haben so ein Stell-keine-Fragen-Zertifikat.

Hier im Forum müßte es dazu ein paar Themen geben.

MfG
hansmueller

 

[Guest2]

Moin,

hansmueller hat recht, irgendeine Form des Sicherheitsdialogs erscheint immer. Siehe z.B. hier.

Grundsätzlich solltest Du bei der Wahl des Zertifikatsanbieters darauf achten, dass das verwendete Wurzelzertifikat im Sun Truststore enthalten ist. Außerdem benötigst Du (um jars korrekt signieren zu können) ein Zertifikat mit dem Attribut "Code Signing" (OID: 1.3.6.1.5.5.7.3.3). Ein SSL Server Zertifikat benötigt (je nach Funktion) andere OIDs. Technisch wäre es kein Problem ein Zertifikat auszustellen, welches über alle notwendigen Attribute verfügt. Allerdings schreiben die meisten Zertifizierungsrichtlinien der CAs vor, das der Common Name (CN) eines Code Sign Zertifikats auf den natürlichen Namen des Zertifikatsnehmers gesetzt sein muss (oder auf die Firma) während bei Servern dort üblicherweise der symbolische Name (wie im DNS) verlangt wird.

Außerdem ist Spacerats Einwand korrekt. Ein Serverzertifikat liegt normalerweise unverschlüsselt auf dem Server. Dein Code Sign Zertifikat solltest Du jedoch hüten wie deinen Augapfel und thunlichts drauf achten, was Du signierst. Signierte Malware, die Deinen signierten Namen und Deine Emailadresse trägt, kann sonnst schnell sehr unangenehm werden.

Gruß,
Fancy

 

[Empire Phoenix]

Danke für eure antworten,

also brauche ich wenn ein SSL Certificat und nen zweites für den code.