以计算出该证书的指纹(fingerprint(s) )-- 一般是证书的一个 Hash 码 ;接受者可以打电话给证书发放者比较两处的指纹是否相同,以确认自己受到的证书是他发的,并且中途没有被修改过。接下来需要确认发送者的身份,如果发送者是自己信任的( 已确认并保存了其共钥) ,确认完成。否则就需要第三方( CA )来得到证书。首先发一个自签的证书给 CA ,CA 通过检查证书信息(比如身份证编码什么的)来确证,然后生成一个自签名的证明发送者身份的证书。任何信任这个 CA 的人都相信这份证书上公钥和实体的对应。
系统将所有信任的证书存储起来( Keystore ), 以后收到了带签名的代码或
文档,就可以通过jarsigner ,系统 API 来确认;如果在安全策略文件中说明了信任某实体签名的代码,在下载后系统会自动确认。
如果是将签名后的代码或
文档发送给其他人,需要将自己的证书捎带上去以便对方确认。keytool - export 或 API 函数可以从 KeyStore 中将证书附加在被签名的文档中。如果是用 jarsigner ,他自动将证书带上。
密钥管理
通过一个带密码的数据库来存储自己的私钥及信任的公钥( 称为 Keystore );它包括了两类入口 : 信任证书和证书密钥对(自己的私钥和证书) [ 与 PGP 类似 ],他们都可以通过别名来标识。一个 KeyStore 的所有者可以通过不同的别名来标记不同的 证书- 私钥对而用于不同的场合。
通过 java 工具来实现基本流程
工具介绍:
密钥和证书管理工具( Keytools )
它主要是负责 公 - 私钥对 、向C A 发证书申请、接受 CA 的回复、记录信任的公钥-实体 对应表, 维护密钥库 ( keystore ) , 命令基本形式是:
keytool command options
主要有如下几种命令:
* - certreq - 产生一个证书签名请求(Generate a Certificate Signing Request ,CSR)给 CA , 由它来认证自己的证书。
* -delete - 删除对应的密钥库的记录
* - export 将公钥证书输出到某个文件
* - genkey. 在密钥库中存入私钥- 公钥对, 后者保存在一个自签的证书中。
* --import 将一个信任的证书导入,或者是接到了CA 的回复,将该证书取代原来密钥库中自签的证书。
* keypasswd - 为某私钥分配密码
* -list - 列出密钥库中所有入口
* -storepasswd 给密钥库分配密码
.
Java文档处理工具(jar)
如果要对代码签名,需要先用 jar 将其打包,然后用jarsigner 来签名, 命令的基本格式是jar cf jar-file input-file(s)
Java 文档签名及验证工具 (jarsigner)
jarsigner 工具通过密钥库中的数据来对 jar 文件进行签名和认证;
策略编辑器 (policytool )
编辑系统的策略文件
使用代码签名
1.签名方大致流程如下所示 :
各个步骤通过前面的工具使用介绍,具体实现细节就不再描述了, 现在列出自己尝试时使用的几个命令:
* [ 生成私钥]keytool -genkey -alias signFiles -keypass 123456 -keystore store -storepass 123456
* [ 打包 ]jar cvf algrim.jar *.cla