Question

Я заметил, что в документации к keytool написано msgstr "jarsigner [...] проверяет, является ли открытый ключ этого сертификата" доверенным ", то есть содержится ли в указанном хранилище ключей." в то время как на странице jarsigner говорится «При проверке [...] хранилище ключей не требуется», и утилита всегда сверяется с сертификатом, поставляемым с jar. На мой взгляд, это как бы отрицательно сказалось на цели, так как это только подтвердило бы, что банка не была изменена с момента ее подписания, но не подписана каким-либо конкретным органом / поставщиком.

Есть ли какой-нибудь способ сделать проверку неудачной, если сертификат, используемый для подписи jar, неизвестен / не является доверенным в среде выполнения? Или я должен использовать скрипт для вызова jarsigner -verify -verbose -keystore ... и проанализировать вывод, чтобы увидеть, есть ли запись для сертификата подписи в локальном (во время выполнения) хранилище ключей?

Confused, Питер

Jacek Konieczny · Answer 1 · 14 июня 2012

Утилита

jarsigner совершенно бесполезна для проверки подписи JAR, так как она не проверяет сертификат подписавшего, не проверяет доверенные временные метки в подписи и не дает полезного результата (синтаксический анализ вывода консоли не является хорошим решением).

Чтобы избежать этих ограничений, мы решили написать собственную утилиту verify_jar .

проверка jarsigner с использованием только доверенных сертификатов?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

проверка jarsigner с использованием только доверенных сертификатов?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы