[Javalist] Code Signing Certificate
Gábor Lipták
gabor.liptak at gmail.com
2014. Feb. 6., Cs, 12:52:21 CET
A tanúsítvány egy bizonyos doménre szól. Ha más doménen lévő szerverről
használod, akkor a böngésző dumál, hogy nem egyezik a cert domén és a
szerver domén. Ez logikus, hiszen csúnya volna egy amazon.com-ot az ebay
tanúsítványával üzemeltetni, nem igaz?
2014. február 6. 12:46 József Keresztes írta, <xesj.hu at gmail.com>:
> Sziasztok !
>
> Tegnap sikerült végre aláírni a jar-t, és végülis nem én csináltam hanem a
> rendszergazdánk. De beleütköztünk a következő problémába: Nem mindegy hogy
> az aláírt jar honnan töltődik le. A saját gépemről szépen működik, meg
> lehet nézni a tanúsítványláncot stb. De ha más serverre rakjuk fel onnan
> már nem jó a dolog, kapunk egy "security warning"-ot:
> The certificate is not valid and cannot used to verify the identity of
> this website.
> Pedig ennek a servernek is van tanúsítványa. Most úgy sejtjük hogy a
> probléma abból ered hogy eltér a két tanúsítvány. Márpedig amit vettünk az
> a tanúsítvány csak kód aláírásra szolgál, nem pedig server
> ssl-tanúsítvány...
>
> Egyelőre nézem a neten milyen megoldás lenne erre a problémára. Ha van jó
> ötletetek szívesen meghallgatom.
>
> Joe
>
>
> 2014. február 5. 14:19 Peter Verhas írta, <peter.verhas at gmail.com>:
>
>> Nem önreklám, köszönjük. Olvastam is, mégsem jutott eszembe.
>>
>>
>> On Wed, Feb 5, 2014 at 1:07 PM, István Viczián <viczian.istvan at gmail.com>wrote:
>>
>>> Sziasztok,
>>>
>>> Bocs a reklámért, ide tartozik:
>>>
>>> http://jtechlog.blogspot.hu/2011/02/elektronikus-alairas-es-alkalmazasa.html
>>>
>>> Kb. egy hónapja frissítettem, tehát kb. releváns információkat
>>> tartalmaz.
>>>
>>> Üdv,
>>> --
>>> Viczián István
>>>
>>>
>>> József Keresztes <xesj.hu at gmail.com> írta (2014. február 5. 12:47):
>>> > Köszönöm a válaszokat !
>>> >
>>> > Joe
>>> >
>>> >
>>> > 2014. február 5. 12:40 Zoltán Bernát írta, <bernatzoltan at gmail.com>:
>>> >
>>> >> Szia!
>>> >>
>>> >> En korabban openssl-t hasznaltam (nem volt a szervernek domain neve,
>>> csak
>>> >> ip cime, es ez a problemat csak openssllel sikerult kezelnem)
>>> Szerintem
>>> >> semmifele olyan kompatibilitasi gond nem lehet, amit ne tudnal
>>> egyszeruen
>>> >> megoldani.
>>> >> BZoli
>>> >>
>>> >>
>>> >> 2014. február 5. 12:27 József Keresztes írta, <xesj.hu at gmail.com>:
>>> >>>
>>> >>> Ok, én is így tudtam. Kell a privát kulcs, ami a rendszergazdánál
>>> van
>>> >>> (tiszta sor). Ő azt mondja semmi gond majd aláírja a jar-t
>>> openssl-lel. Azt
>>> >>> nem ismerem, csak olyanról tudok hogy jar-t jarsigner-rel írnak alá.
>>> >>> Szerintetek openssl-lel aláírt jar is működne ? Mert rendszergazdánk
>>> szerint
>>> >>> ő mindent ezzel alá tud írni.
>>> >>>
>>> >>> A másik lehetőségnek azt gondolom, hogy abból a keystore-ból ami
>>> nála
>>> >>> megvan, kiszedi a privát kulcsot és importáljuk egy java
>>> keystore-ba.
>>> >>>
>>> >>> Harmadik lehetőség (amit nem velószínűsítek) hogy a java keytool az
>>> >>> openssl-es keystore-t használja közvetlenül. Szerintem nem
>>> >>> kompatibilisek....
>>> >>>
>>> >>> Joe
>>> >>>
>>> >>>
>>> >>> 2014. február 5. 12:19 Gábor Lipták írta, <gabor.liptak at gmail.com>:
>>> >>>
>>> >>>> Nyilván hogy a világ a publikus kulcsoddal ellenőrizni tudja a jar
>>> >>>> hitelességét, ahhoz neked a privát kulccsal kell aláírni. Azt, hogy
>>> a cégen
>>> >>>> belül a rendszergazdával hogy oldjátok meg, az más kérdés.
>>> Általában van egy
>>> >>>> jelszóval védett certstore, és a rendszergazda által védett (ő fér
>>> hozzá a
>>> >>>> rendszerhez csak) automatizmus írja alá a jart mondjuk egy Jenkins
>>> build
>>> >>>> kapcsán.
>>> >>>>
>>> >>>>
>>> >>>> 2014. február 5. 12:10 Peter Verhas írta, <peter.verhas at gmail.com>:
>>>
>>> >>>>>
>>> >>>>> Meg kell érteni először hogy mi ez az egész aláírósdi, és utána
>>> érthető
>>> >>>>> lesz.
>>> >>>>> --
>>> >>>>> Dipl. Ing. Peter Verhas
>>> >>>>>
>>> >>>>>
>>> >>>>> On Wed, Feb 5, 2014 at 12:07 PM, József Keresztes <
>>> xesj.hu at gmail.com>
>>> >>>>> wrote:
>>> >>>>>>
>>> >>>>>> Sziasztok !
>>> >>>>>>
>>> >>>>>> Szeretnénk egy "code signing certificate"-et egy webstart-os
>>> >>>>>> alkalmazásunkhoz. Az sem volt egyszerű míg beazonosítottak
>>> minket, de ez nem
>>> >>>>>> ide tartozik. Egy Thawte tanúsítványt kaptunk, és nem igazán akar
>>> működni a
>>> >>>>>> dolog, pedig ezt a leírást nézegetem:
>>> >>>>>>
>>> >>>>>>
>>> >>>>>>
>>> https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=AR185&actp=search&viewlocale=en_US
>>> >>>>>>
>>> >>>>>> Ha végigcsinálom az elég egyszerűnek tűnő eljárást (ONNANTÓL HOGY
>>> >>>>>> MEGKAPTUK A TANÚSÍTVÁNYT), végül nem sikerül az aláírás mert a
>>> jarsigner ezt
>>> >>>>>> mondja:
>>> >>>>>>
>>> >>>>>> "Certificate chain not found for: aliasxxx. aliasxxx must
>>> reference a
>>> >>>>>> valid KeyStore key entry containing a private key and
>>> corresponding public
>>> >>>>>> key certificate chain."
>>> >>>>>>
>>> >>>>>> Ami nekem gyanús: a jarsigner az én privát kulcsommal szeretne
>>> >>>>>> aláírni, de olyat még nem csináltam. De csinált ilyet a
>>> rendszergazdánk
>>> >>>>>> openssl-lel, hiszen ő kért tanúsítványt a Thawte-tól. Nem hiszem
>>> hogy
>>> >>>>>> adaadná nekem ezt a privát kulcsot. Az egész tanúsítvány kérés,
>>> nem a
>>> >>>>>> keytool-lal történt (hanem openssl-lel), lehet hogy ez a baj ?
>>> >>>>>>
>>> >>>>>> Van ötletetek mi lenne a teendő ?
>>> >>>>>>
>>> >>>>>> Joe
>>> >>>>>
>>> >>>>>
>>> >>>>>
>>> >>>>> _______________________________________________
>>> >>>>> Javalist mailing list
>>> >>>>> Javalist at lists.javaforum.hu
>>> >>>>> http://lists.javaforum.hu/mailman/listinfo/javalist
>>> >>>>>
>>> >>>>
>>> >>>>
>>> >>>> _______________________________________________
>>> >>>> Javalist mailing list
>>> >>>> Javalist at lists.javaforum.hu
>>> >>>> http://lists.javaforum.hu/mailman/listinfo/javalist
>>> >>>>
>>> >>>
>>> >>>
>>> >>> _______________________________________________
>>> >>> Javalist mailing list
>>> >>> Javalist at lists.javaforum.hu
>>> >>> http://lists.javaforum.hu/mailman/listinfo/javalist
>>> >>>
>>> >>
>>> >>
>>> >> _______________________________________________
>>> >> Javalist mailing list
>>> >> Javalist at lists.javaforum.hu
>>> >> http://lists.javaforum.hu/mailman/listinfo/javalist
>>> >>
>>> >
>>> >
>>> > _______________________________________________
>>> > Javalist mailing list
>>> > Javalist at lists.javaforum.hu
>>> > http://lists.javaforum.hu/mailman/listinfo/javalist
>>> >
>>> _______________________________________________
>>> Javalist mailing list
>>> Javalist at lists.javaforum.hu
>>> http://lists.javaforum.hu/mailman/listinfo/javalist
>>>
>>
>>
>> _______________________________________________
>> Javalist mailing list
>> Javalist at lists.javaforum.hu
>> http://lists.javaforum.hu/mailman/listinfo/javalist
>>
>>
>
> _______________________________________________
> Javalist mailing list
> Javalist at lists.javaforum.hu
> http://lists.javaforum.hu/mailman/listinfo/javalist
>
>
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lists.javaforum.hu/pipermail/javalist/attachments/20140206/af04edfb/attachment.html>
További információk a(z) Javalist levelezőlistáról