Java 7 WebStart + Sign JNLP

[Foermchen82]

Hallo zusammen,

ich entwickle einen WebStartClient für einen Kunden. Bisher lief der Kunde auf Java6. D.h. die Sicherheits-Anforderungen waren da noch nicht sehr hoch und alles lief problemlos.

Jetzt möchte der Kunde auf Java 7u51 gehen. Ich habe schon die "Probleme" mit dem Manifest und dem JNLP identifiziert und lösen können. Jedoch stellen sich mir zwei Fragen:

1. Laut Oracle muss die Signierung mit einem Trusted Certificat erfolgen. Meine Test zeigen jedoch, dass das eigene Certificat auch reicht. Es kommt zwar eine Sicherheitswarung, aber die kann man bestätigen. Überseh ich hier wars, oder sind weiterhin selbst signierte Jars möglich?

2. Da das JNLP im Jar enthalten sein muss hab ich hier eine Abhängigkeit zum Kunden und seiner Infrastruktur. D.h. ich habe ein JAR zum Testen mit meinem JNLP, ein JAR mit seinem Produktiv JNLP und einem mit seinem Test JNLP. Kann ich das irgendwie vermeiden?

Danke und viele Grüße

 

[Hogli]

Hallo, zum ersten Punkt:
das hängt wohl von den Sicherheitseinstellungen des Java Control Panels ab. Nur auf 'Mittel' ist das beschriebene möglich (nicht Standardeinstellung). Dann muss allerdings jedes mal die Warnung vom Benutzer bestätigt werden und das kann dann für jede selbst signierte Webstartanwendung erfolgen (Sicherheitsproblem).

Wenn allerdings das selbst signierte Zertifikat als Signaturgeber-CA importiert wird (Java Control Panel), kann die Sicherheitseinstellung auch auf "sehr hoch" gesetzt werden. Der Benutzer bekommt dann eine Warnung, kann diese dann für zukünftige Zugriffe einmalig akzeptieren. Andere selbst signierte Jars von unbekannten Quellen können aber nicht mehr ausgeführt werden (Sicherheitsgewinn).

So ein Zertifikat kann man auch im Java Control Panel exportieren und dem Kunden zur Verfügung stellen.

Grüße Hogli