从小程序安全警告中摆脱“未知”发布者答案

【问题标题】：Get rid of the "UNKNOWN" publisher from applet security warning从小程序安全警告中摆脱“未知”发布者
【发布时间】：2012-10-14 18:30:10
【问题描述】：

我正在尝试签署一个小程序，以便发布者不会显示为“UNKNOWN”：

我为一个组织工作，我们有我们自己的证书颁发机构，证书链如下：ORG 根 CA > ORG 受信任的证书颁发机构 > Yann39 (我 :D)

我申请了证书，他们为我提供了一个链接，可以将其放入浏览器。然后我将它（从 Firefox）导出以获取我命名为 mystore.p12 的 PKCS#12 文件。

然后我做了以下操作来签署我的小程序：

/* TO KNOW THE ALIAS */
c:\testrep>keytool -list -storetype pkcs12 -keystore mystore.p12
Enter keystore password:  ********

Keystore type: pkcs12
Keystore provider: SunJSSE

Your keystore contains 1 entry

id de yann39, Oct 24, 2012, keyEntry,
Certificate fingerprint (MD5): D7:E3:83:1D:C1:40:68:72:5F:A8:6F:AC:3A:EA:DD:47

/* CREATE FAKE CLASS FILE AND BUILD A JAR */
c:\testrep>echo test > test.class
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jar cf0 test_applet.jar test.class

/* SIGN THE JAR */
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jarsigner -verbose -storetype pkcs12 -keystore mystore.p12 test_applet.jar "id de yann39"
Enter Passphrase for keystore: ********
 updating: META-INF/MANIFEST.MF
   adding: META-INF/ID_DE_YA.SF
   adding: META-INF/ID_DE_YA.RSA
  signing: test.class

/* VERIFY THE SIGNATURE */
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jarsigner -verify -verbose -certs test_applet.jar

         132 Wed Oct 24 17:49:52 CEST 2012 META-INF/MANIFEST.MF
         185 Wed Oct 24 17:49:52 CEST 2012 META-INF/ID_DE_YA.SF
        4801 Wed Oct 24 17:49:52 CEST 2012 META-INF/ID_DE_YA.RSA
           0 Wed Oct 24 17:48:36 CEST 2012 META-INF/
sm         0 Wed Oct 24 17:47:46 CEST 2012 test.class

      X.509, CN=Yann39, CN=794324, CN=myname, OU=Users, OU=Organic Units,
DC=myorg, DC=ch
      X.509, CN=ORG Trusted Certification Authority, DC=myorg, DC=ch
      X.509, CN=ORG Root CA, DC=myorg, DC=ch


  s = signature was verified
  m = entry is listed in manifest
  k = at least one certificate was found in keystore
  i = at least one certificate was found in identity scope

jar verified.

c:\testrep>

然后我在我的应用程序中加载appled：

<object id="mytestapplet" width="0" height="0" style="position:absolute" type="application/x-java-applet">
<param name="archive" value="https://myhost.ch/rep/test_applet.jar">
<param name="code" value="test">
<param name="scriptable" value="true">
<param name="mayscript" value="no">
</object>

我读过一些类似这样的帖子：How to sign java applet with .pfx file? 并且似乎 我应该得到 smi 在验证来自 jar 的签名文件时，不仅是 sm 这意味着找不到证书在密钥库中。

所以我以为证书链不完整，但是在运行以下命令时，发现不是这样：

c:\testrep>keytool -list -v -storetype pkcs12 -keystore mystore.p12
Enter keystore password:  ********

Keystore type: pkcs12
Keystore provider: SunJSSE

Your keystore contains 1 entry

Alias name: id  de yann39
Creation date: Oct 24, 2012
Entry type: keyEntry
Certificate chain length: 3
Certificate[1]:
Owner: CN=Yann39, CN=794324, CN=myname, OU=Users, OU=Organic Units,
    DC=myorg, DC=ch
Issuer: CN=ORG Trusted Certification Authority, DC=myorg, DC=ch
Serial number: 12d21eb200200000a02b
Valid from: Mon Jun 25 14:16:00 CEST 2011 until: Wed Jun 24 14:16:00 CEST 2013
Certificate fingerprints:
         MD5:  D7:E3:83:1D:C1:41:78:72:5F:A8:6D:BD:3A:ED:DD:48
         SHA1: 24:31:1D:25:02:98:0D:F8:28:6A:F1:0E:E8:BB:04:7E:51:E2:E9:66
Certificate[2]:
Owner: CN=ORG Trusted Certification Authority, DC=myorg, DC=ch
Issuer: CN=ORG Root CA, DC=myorg, DC=ch
Serial number: 601fab4c000000000003
Valid from: Tue Oct 02 11:36:53 CEST 2006 until: Mon Oct 02 11:47:53 CEST 2016
Certificate fingerprints:
         MD5:  51:A1:EA:33:21:2C:71:60:A1:6F:F1:22:92:A8:51:8D
         SHA1: 66:CD:70:13:27:68:F3:C2:08:F3:BE:5F:BF:D4:17:BD:85:9D:10:65
Certificate[3]:
Owner: CN=ORG Root CA, DC=myorg, DC=ch
Issuer: CN=ORG Root CA, DC=myorg, DC=ch
Serial number: 7dc0d089138d1d804b2e68e21b947412
Valid from: Tue Oct 02 10:55:19 CEST 2006 until: Sat Oct 02 11:01:47 CEST 2026
Certificate fingerprints:
         MD5:  A2:CE:DC:7D:F5:60:D7:2C:5E:B5:29:74:9D:51:F9:49
         SHA1: DA:D8:7F:63:95:90:A2:E4:D4:1D:B9:48:FD:F4:C3:5C:FC:2B:B6:A3


*******************************************
*******************************************



c:\testrep>

链条看起来不错。

但我仍然收到“未知”发布者的安全警告。 为什么？

2012 年 10 月 25 日编辑

我忘了说它使用 Internet Explorer 工作（“签名已被验证”并且发布者是“Yann39”），而不是使用 Chrome 或 Firefox。

我尝试使用自签名证书：

keytool -genkey -alias myalias -storetype PKCS12 -keystore mykeystore.p12 -dname "cn=Yann39, ou=UN, o=ORG, st=Geneva, c=CH"
keytool -list -v -storetype pkcs12 -keystore mykeystore.p12
echo test > test.class
C:\oracle\dev10gr2\jdk\bin\jar cf0 myapplet.jar test.class
C:\oracle\dev10gr2\jdk\bin\jarsigner -verbose -storetype pkcs12 -keystore mykeystore.p12 myapplet.jar "myalias"
C:\oracle\dev10gr2\jdk\bin\jarsigner -verify -verbose -certs myapplet.jar

IE 和 Firefox 或 Chrome 都不行，正常。

我尝试从我的组织添加 2 个受信任的证书，但失败了：

keytool -import -alias "myalias_root" -file ORGRooTCA.crt -storetype pkcs12 -keystore mykeystore.p12
keytool -import -alias "myalias_auth" -file ORGTrustedCertificationAuthority.crt -storetype pkcs12 -keystore mykeystore.p12

出现错误：

keytool error: java.security.KeyStoreException: TrustedCertEntry not supported

我仍然不明白为什么在验证签名时它说在密钥库（sm）中找不到证书。

编辑 2012 年 11 月 2 日

我终于收到了我的证书颁发机构的回复。由于提供代码签名证书仅用于测试（我们的组织未正式支持），因此它们不提供任何帮助并且关闭了我的票...

ORG Root CA 和 ORG 受信任的证书颁发机构 2 个证书在 3 种浏览器（IE、Firefox、Chrome）中受信任。运行我的小程序时，我仍然在 IE 中得到预期的结果：

名称：小程序测试
发布者：Yann39
发件人：https://myhost.ch

但不是在 Firefox 和 Chrome 中：

名称：测试
出版商：未知
发件人：https://myhost.ch

另一个奇怪的事情是，正如您所见，IE 将 HTML 中使用的 <object> 标记的 id 引用为“名称”（applettest），而 Firefox 和 Chrome 则引用了主类（test）。

我认为 Publisher 是一样的，IE 关注的是CN RDN (Yann39)，而 Firefox 和 Chrome 关注的是O RDN 并且找不到，因为它没有在我的证书中定义。

如果有人有更多关于浏览器如何检查证书的信息，请分享。

谢谢。

【问题讨论】：

只是猜测，但小程序对话框可能使用证书的O= RDN 来显示发布者是谁（浏览器就是这样做的）。如果您控制该 CA，您可以尝试将 O=Something 添加到您的主题 DN 以查看它是否会产生影响。
不幸的是，我无法控制 CA，他们只是为我提供了 PKCS12 文件。因为它只使用 Internet Explorer 才有效，也许其他浏览器正在寻找 O= 而 IE 不关心它（像往常一样......）？我在帖子中添加了一些信息。
jar verified. 哎呀！错过了。
进展如何？您是否成功验证发布者？
我已联系我的 CA 以获得任何帮助，并了解他们颁发给我的证书是否有任何问题（正如 Bruno 所建议的，它不包含 O= 似乎很奇怪RDN。）。我还在等待回复，我会在获得更多信息后立即更新我的帖子。

标签： java ssl applet certificate signing

【解决方案1】：

我尝试从我的组织添加 2 个受信任的证书，但它失败：

Emm...一切似乎都不清楚，因为您演示了签名过程，因为仅导入证书...

我尝试使用自签名证书它在 IE 也不在 Firefox 或 Chrome 中，正常。我尝试添加 2 个受信任的来自我的组织的证书，但它失败了：

当然，它失败了。因为您无法导入证书来获取非原始密钥的链。回到你的测试用例......

我可以在您的测试用例中看到的所有内容，例如：

A) 您可能是 myalias 或 myalias_root 并且 myalias_auth 密钥 - 在此处提供更多详细信息
B) 您尝试导入 ORGRooTCA 并且 ORGTrustedCertificationAuthority
C) 您尝试对测试 jar 进行签名

在步骤 B 中，您尝试导入 2 个证书。所以我必须问

这两个证书是使用 myalias_root 和
myalias_auth CSR 生成的吗？

如果不是这样，我想您只是跳过了一些步骤，如下所示：

A) Gen myalias_root 和 myalias_auth 密钥
B) myalias_root_root 和 myalias_auth 的 Gen CSR
C) 使用 myalias_root 和
myalias_auth CSR 生成证书 ORGRooTCA 和 ORGTrustedCertificationAuthority
D) 将证书导入为 ORGRooTCA 和 ORGTrustedCertificationAuthority 以获取链
E) 尝试对测试 jar 签名

再一次……

我尝试从我的组织添加 2 个受信任的证书，但它失败：

因此，我可以给你建议

A) 不仅可以从您的组织获取证书，还可以从它的生成证书的密钥库密钥
B) 或者按照前面提到的 ABCDE 步骤:)

我申请了证书，他们为我提供了获取证书的链接浏览器。然后我（从 Firefox）导出它以获取 PKCS#12 文件我命名为 mystore.p12。

您手动导入它，然后按照here 的描述导出它？

好吧……这很有趣。如果您仍然确定 pfx 中的所有内容都正确：S 我仍然使用演示重新播放您的 jarsigner。所以你将 test_applet.jar 签名为

/* SIGN THE JAR */
c:\testrep>C:\oracle\dev10gr2\jdk\bin\jarsigner -verbose -storetype pkcs12 -keystore mystore.p12 test_applet.jar "id de yann39"
Enter Passphrase for keystore: ********
 updating: META-INF/MANIFEST.MF
   adding: META-INF/ID_DE_YA.SF
   adding: META-INF/ID_DE_YA.RSA
  signing: test.class

...这是非常标准的签名方式，但我想指出一些细节...我看不到 jarsigner 要求您在哪里输入“id de yann39”私钥密码：S？我只能看到您只输入密钥库密码...在您的复制粘贴版本或 jarsigner 中跳过的步骤真的不需要您输入密钥密码吗？

作为试用版，我建议您尝试使用 -keypass arg 为您的 jar 签名（参见示例）

jarsigner -keystore C:\working\mystore -storepass myspass
      -keypass dukekeypasswd MyJarFile.jar duke

更多详情见how to use jarsigner docs...

我没有对证书进行任何更改，所以是的，我猜它是原始私钥？关于您的编辑：是的，我按照描述导出了它在您的链接中，但我使用了“全部备份”，而不仅仅是“备份”，否则我没有在我的 .p12 文件中获取整个证书链。关于签署 .jar 文件，我没有跳过任何内容，jarsigner 只问我密钥库密码。我认为keystore密码和私钥密码都是一样的，

如果您使用 keytool 在您的密钥库中生成了密钥，您必须知道密钥库有自己的密码，并且新生成的私钥应该有自己的密码；所以我想这里可能缺少一些东西：S 你会很有趣 A）将你的 pfx 导入 IE 并使用 IE 将其导出，如here 所述：因为“是导出私钥”说明 +“在如果可能的话，认证路径”

附：如果有帮助请评论

【讨论】：

感谢您的回复，不过这里只讲我上次使用自签名证书的测试。这只是一项测试，看看是否可以在与我的自签名证书相同的密钥库中导入 2 个受信任的证书，但正如您所说，我们无法导入证书以获取非原始密钥的链。这不是真正的问题，我必须使用我的 CA 提供的证书。不过谢谢你的信息！
不，您不能导入外来密钥的证书来获取链，因为这些密钥不是生成 CSR 的原始密钥；您的密钥库中是否有生成证书的密钥（别名）？
我从我的 CA 获得的唯一东西是 .p12 文件，一个包含 3 个证书（ORGRooTCA、ORGTrustedCertificationAuthority 和我的用户证书）的密钥库。

【解决方案2】：

您需要在签名前将 CA 证书（直到根 CA）添加到您的 p12 文件中。

【讨论】：

这解决了我的问题。我添加了从提供程序下载的根 CA，并将其添加到 p12 文件（来自 Mac 上的 KeyChain）。它立即修复它。

【解决方案3】：

如果您有自己的 CA 并使用该 CA 颁发的证书签署小程序，那么您显然需要将该 CA 的证书添加到受信任的证书颁发机构列表中。

在 IE 中运行时，Java 插件似乎可以使用 CA 的系统列表，因此您只需将您的 CA 证书添加到系统证书存储中（请务必手动选择证书目的地为受信任的 CA在导入期间）。

在 Chrome 或 Firefox 中运行时，Java 插件出于某种原因不使用系统证书存储，而仅使用其自己的单独证书存储。如果在 Java 插件证书存储中不存在 CA 的证书，无论它是否在“受信任的 CA”系统证书存储中，当在这些浏览器中运行小程序时，您将收到带有“未知”发布者的“不安全”安全警告。

将证书添加到 Java 插件存储：

打开 Java 控制面板
选择“安全”标签
点击“管理证书...”按钮
在“证书类型”组合框中选择“签名者 CA”选项。
导入您的 CA 证书

下次您使用 Chrome 或 Firefox 运行您的小程序时，您将收到一个正常的“安全”安全警告，并可选择永久信任该小程序。

【讨论】：

不幸的是，我不再在这个组织工作，所以我无法对这个特定问题进行额外的测试。如果我没记错的话，当然将证书添加到 Java 密钥库是有效的。但目标是避免用户必须执行此操作。结论似乎是根本不可能。对安全有利，对用户不利。谢谢你的澄清。

【解决方案4】：

当我更改我的签名证书时，出现了同样奇怪的“未知”消息。我将我的签名密钥库的证书导入到 cacerts 中（这样我的自签名 jar 将被接受），但 java 缓存保存了旧的 jarfile。然后，当使用“新”证书启动“旧”小程序时，会出现与上述类似的消息。

解决方案：清除java缓存（通过java控制面板或javaws -uninstall）。

这是为了以防有人（比如我自己）在搜索此错误消息时偶然发现此线程。

【讨论】：