Сертификаты подписи кода для Java, Adobe AIR, Authenticode, VBS - они разные?

Question

У нас есть сертификат для подписи кода, приобретенный у GlobalSign для подписи Authenticode (как они его называют). Теперь нам нужно подписать Java-апплет и вскоре модуль Adobe AIR (апплет?). Вопрос заключается в следующем: с технической точки зрения есть ли разница между сертификатом для Authenticode и сертификатом для Java или сертификатом для AIR, если они выпущены одним и тем же CA (скажем, Comodo или GlobalSign)? Я не вижу смысла покупать разные сертификаты, если они заменяемы.

Я понимаю, что поле использования ключей в сертификатах должно быть одинаковым (подписывание кода), но, возможно, использование расширенных кодов или политики или других расширений отличается в этих сертификатах. Я был бы признателен, если бы кто-нибудь, у кого есть сертификаты для подписи кода двух или более типов, выпущенные одним центром сертификации, мог бы проверить это для меня.

Answer 1

В http://www.adobe.com/devnet/air/articles/signing_air_applications.html есть явное утверждение:

«Разработчик может использовать любой класс-3, сертификат высокой надежности, предоставленный любой центр сертификации подписать Adobe AIR приложение. "

К сожалению, я не могу найти ничего подобного для Java. Однако независимо от минимальных требований к сертификатам для различных платформ, вам лучше всего обратиться к существующему поставщику сертификатов, чтобы узнать, есть ли какие-либо существенные различия между сертификатами, которые они предлагают для этих платформ.

Некоторые из бла-бла на веб-сайте Verisign предполагают, что формат, в котором сертификат доставляется покупателю, является единственной реальной разницей между их предложениями, но на самом деле они не заявляют об этом напрямую, поэтому кто знает ... .

Answer 2

Из того, что я почерпнул из RFC 5280, расширения использования ключа могут только решить, пригоден ли сертификат для подписи кода или нет. Кажется, в RFC нет ничего, что могло бы ограничить, подписываете ли вы код Java, AIR или что-то еще. Кажется, это означает, что если вы можете подписать один фрагмент кода (или любой другой вид неключевых данных), вы можете подписать любой.

Тем не менее, в вашем сертификате могут быть специфичные для CA расширения. Не видя сертификат, трудно сказать, есть ли ограничения.

С технической точки зрения, пока клиент (т. Е. Браузер, если мы говорим о апплетах) распознает ЦС и удовлетворен вашей комбинацией использования ключа и типа сертификата (DIGITAL_SIGNATURE и OBJECT_SIGNING), с вами все будет в порядке .

Answer 3

Кажется, что любой сертификат подписи кода будет работать для любой упомянутой платформы.Я спросил службу поддержки GlobalSign о разнице - они не ответили, однако вскоре после этого они изменили свою веб-страницу, и теперь вы будете покупать один сертификат подписи кода для всех платформ.