[Javalist] Code Signing Certificate
József Keresztes
xesj.hu at gmail.com
2014. Feb. 6., Cs, 13:04:05 CET
Úgy kell elképzeli hogy van egy "akarmi.xx.hu" serverünk amire van egy
régebben kapott *-os tanúsítvány: **.xx.hu <http://xx.hu>*
A code signing certificate viszont a konkrét "*akarmi.xx.hu
<http://akarmi.xx.hu>*" -ra kértük.
Szóval ez nem annyira különböző eset mint amit leírtál, de mégis
különbözik.
2014. február 6. 12:52 Gábor Lipták írta, <gabor.liptak at gmail.com>:
> A tanúsítvány egy bizonyos doménre szól. Ha más doménen lévő szerverről
> használod, akkor a böngésző dumál, hogy nem egyezik a cert domén és a
> szerver domén. Ez logikus, hiszen csúnya volna egy amazon.com-ot az ebay
> tanúsítványával üzemeltetni, nem igaz?
>
>
> 2014. február 6. 12:46 József Keresztes írta, <xesj.hu at gmail.com>:
>
> Sziasztok !
>>
>> Tegnap sikerült végre aláírni a jar-t, és végülis nem én csináltam hanem
>> a rendszergazdánk. De beleütköztünk a következő problémába: Nem mindegy
>> hogy az aláírt jar honnan töltődik le. A saját gépemről szépen működik, meg
>> lehet nézni a tanúsítványláncot stb. De ha más serverre rakjuk fel onnan
>> már nem jó a dolog, kapunk egy "security warning"-ot:
>> The certificate is not valid and cannot used to verify the identity of
>> this website.
>> Pedig ennek a servernek is van tanúsítványa. Most úgy sejtjük hogy a
>> probléma abból ered hogy eltér a két tanúsítvány. Márpedig amit vettünk az
>> a tanúsítvány csak kód aláírásra szolgál, nem pedig server
>> ssl-tanúsítvány...
>>
>> Egyelőre nézem a neten milyen megoldás lenne erre a problémára. Ha van jó
>> ötletetek szívesen meghallgatom.
>>
>> Joe
>>
>>
>> 2014. február 5. 14:19 Peter Verhas írta, <peter.verhas at gmail.com>:
>>
>>> Nem önreklám, köszönjük. Olvastam is, mégsem jutott eszembe.
>>>
>>>
>>> On Wed, Feb 5, 2014 at 1:07 PM, István Viczián <viczian.istvan at gmail.com
>>> > wrote:
>>>
>>>> Sziasztok,
>>>>
>>>> Bocs a reklámért, ide tartozik:
>>>>
>>>> http://jtechlog.blogspot.hu/2011/02/elektronikus-alairas-es-alkalmazasa.html
>>>>
>>>> Kb. egy hónapja frissítettem, tehát kb. releváns információkat
>>>> tartalmaz.
>>>>
>>>> Üdv,
>>>> --
>>>> Viczián István
>>>>
>>>>
>>>> József Keresztes <xesj.hu at gmail.com> írta (2014. február 5. 12:47):
>>>> > Köszönöm a válaszokat !
>>>> >
>>>> > Joe
>>>> >
>>>> >
>>>> > 2014. február 5. 12:40 Zoltán Bernát írta, <bernatzoltan at gmail.com>:
>>>> >
>>>> >> Szia!
>>>> >>
>>>> >> En korabban openssl-t hasznaltam (nem volt a szervernek domain neve,
>>>> csak
>>>> >> ip cime, es ez a problemat csak openssllel sikerult kezelnem)
>>>> Szerintem
>>>> >> semmifele olyan kompatibilitasi gond nem lehet, amit ne tudnal
>>>> egyszeruen
>>>> >> megoldani.
>>>> >> BZoli
>>>> >>
>>>> >>
>>>> >> 2014. február 5. 12:27 József Keresztes írta, <xesj.hu at gmail.com>:
>>>> >>>
>>>> >>> Ok, én is így tudtam. Kell a privát kulcs, ami a rendszergazdánál
>>>> van
>>>> >>> (tiszta sor). Ő azt mondja semmi gond majd aláírja a jar-t
>>>> openssl-lel. Azt
>>>> >>> nem ismerem, csak olyanról tudok hogy jar-t jarsigner-rel írnak
>>>> alá.
>>>> >>> Szerintetek openssl-lel aláírt jar is működne ? Mert
>>>> rendszergazdánk szerint
>>>> >>> ő mindent ezzel alá tud írni.
>>>> >>>
>>>> >>> A másik lehetőségnek azt gondolom, hogy abból a keystore-ból ami
>>>> nála
>>>> >>> megvan, kiszedi a privát kulcsot és importáljuk egy java
>>>> keystore-ba.
>>>> >>>
>>>> >>> Harmadik lehetőség (amit nem velószínűsítek) hogy a java keytool az
>>>> >>> openssl-es keystore-t használja közvetlenül. Szerintem nem
>>>> >>> kompatibilisek....
>>>> >>>
>>>> >>> Joe
>>>> >>>
>>>> >>>
>>>> >>> 2014. február 5. 12:19 Gábor Lipták írta, <gabor.liptak at gmail.com>:
>>>>
>>>> >>>
>>>> >>>> Nyilván hogy a világ a publikus kulcsoddal ellenőrizni tudja a jar
>>>> >>>> hitelességét, ahhoz neked a privát kulccsal kell aláírni. Azt,
>>>> hogy a cégen
>>>> >>>> belül a rendszergazdával hogy oldjátok meg, az más kérdés.
>>>> Általában van egy
>>>> >>>> jelszóval védett certstore, és a rendszergazda által védett (ő fér
>>>> hozzá a
>>>> >>>> rendszerhez csak) automatizmus írja alá a jart mondjuk egy Jenkins
>>>> build
>>>> >>>> kapcsán.
>>>> >>>>
>>>> >>>>
>>>> >>>> 2014. február 5. 12:10 Peter Verhas írta, <peter.verhas at gmail.com>:
>>>>
>>>> >>>>>
>>>> >>>>> Meg kell érteni először hogy mi ez az egész aláírósdi, és utána
>>>> érthető
>>>> >>>>> lesz.
>>>> >>>>> --
>>>> >>>>> Dipl. Ing. Peter Verhas
>>>> >>>>>
>>>> >>>>>
>>>> >>>>> On Wed, Feb 5, 2014 at 12:07 PM, József Keresztes <
>>>> xesj.hu at gmail.com>
>>>> >>>>> wrote:
>>>> >>>>>>
>>>> >>>>>> Sziasztok !
>>>> >>>>>>
>>>> >>>>>> Szeretnénk egy "code signing certificate"-et egy webstart-os
>>>> >>>>>> alkalmazásunkhoz. Az sem volt egyszerű míg beazonosítottak
>>>> minket, de ez nem
>>>> >>>>>> ide tartozik. Egy Thawte tanúsítványt kaptunk, és nem igazán
>>>> akar működni a
>>>> >>>>>> dolog, pedig ezt a leírást nézegetem:
>>>> >>>>>>
>>>> >>>>>>
>>>> >>>>>>
>>>> https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=AR185&actp=search&viewlocale=en_US
>>>> >>>>>>
>>>> >>>>>> Ha végigcsinálom az elég egyszerűnek tűnő eljárást (ONNANTÓL
>>>> HOGY
>>>> >>>>>> MEGKAPTUK A TANÚSÍTVÁNYT), végül nem sikerül az aláírás mert a
>>>> jarsigner ezt
>>>> >>>>>> mondja:
>>>> >>>>>>
>>>> >>>>>> "Certificate chain not found for: aliasxxx. aliasxxx must
>>>> reference a
>>>> >>>>>> valid KeyStore key entry containing a private key and
>>>> corresponding public
>>>> >>>>>> key certificate chain."
>>>> >>>>>>
>>>> >>>>>> Ami nekem gyanús: a jarsigner az én privát kulcsommal szeretne
>>>> >>>>>> aláírni, de olyat még nem csináltam. De csinált ilyet a
>>>> rendszergazdánk
>>>> >>>>>> openssl-lel, hiszen ő kért tanúsítványt a Thawte-tól. Nem hiszem
>>>> hogy
>>>> >>>>>> adaadná nekem ezt a privát kulcsot. Az egész tanúsítvány kérés,
>>>> nem a
>>>> >>>>>> keytool-lal történt (hanem openssl-lel), lehet hogy ez a baj ?
>>>> >>>>>>
>>>> >>>>>> Van ötletetek mi lenne a teendő ?
>>>> >>>>>>
>>>> >>>>>> Joe
>>>> >>>>>
>>>> >>>>>
>>>> >>>>>
>>>> >>>>> _______________________________________________
>>>> >>>>> Javalist mailing list
>>>> >>>>> Javalist at lists.javaforum.hu
>>>> >>>>> http://lists.javaforum.hu/mailman/listinfo/javalist
>>>> >>>>>
>>>> >>>>
>>>> >>>>
>>>> >>>> _______________________________________________
>>>> >>>> Javalist mailing list
>>>> >>>> Javalist at lists.javaforum.hu
>>>> >>>> http://lists.javaforum.hu/mailman/listinfo/javalist
>>>> >>>>
>>>> >>>
>>>> >>>
>>>> >>> _______________________________________________
>>>> >>> Javalist mailing list
>>>> >>> Javalist at lists.javaforum.hu
>>>> >>> http://lists.javaforum.hu/mailman/listinfo/javalist
>>>> >>>
>>>> >>
>>>> >>
>>>> >> _______________________________________________
>>>> >> Javalist mailing list
>>>> >> Javalist at lists.javaforum.hu
>>>> >> http://lists.javaforum.hu/mailman/listinfo/javalist
>>>> >>
>>>> >
>>>> >
>>>> > _______________________________________________
>>>> > Javalist mailing list
>>>> > Javalist at lists.javaforum.hu
>>>> > http://lists.javaforum.hu/mailman/listinfo/javalist
>>>> >
>>>> _______________________________________________
>>>> Javalist mailing list
>>>> Javalist at lists.javaforum.hu
>>>> http://lists.javaforum.hu/mailman/listinfo/javalist
>>>>
>>>
>>>
>>> _______________________________________________
>>> Javalist mailing list
>>> Javalist at lists.javaforum.hu
>>> http://lists.javaforum.hu/mailman/listinfo/javalist
>>>
>>>
>>
>> _______________________________________________
>> Javalist mailing list
>> Javalist at lists.javaforum.hu
>> http://lists.javaforum.hu/mailman/listinfo/javalist
>>
>>
>
> _______________________________________________
> Javalist mailing list
> Javalist at lists.javaforum.hu
> http://lists.javaforum.hu/mailman/listinfo/javalist
>
>
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lists.javaforum.hu/pipermail/javalist/attachments/20140206/e2cb64ff/attachment.html>
További információk a(z) Javalist levelezőlistáról