signed jars gegen keystore "authentifizieren"

[Anselmus]

hi leute,

ich möchte gerne die "echtheit" jars sicherstellen. jetzt hab ich mir mal keytool und jarsigner angesehen. bei der keytool seite (http://java.sun.com/j2se/1.5.0/docs/tooldocs/windows/keytool.html) steht folgender kleiner absatz:

Exporting a Certificate Authenticating Your Public Key

Suppose you have used the jarsigner tool to sign a Java ARchive (JAR) file. Clients that want to use the file will want to authenticate your signature.

One way they can do this is by first importing your public key certificate into their keystore as a "trusted" entry. You can export the certificate and supply it to your clients. As an example, you can copy your certificate to a file named MJ.cer via the following, assuming the entry is aliased by "mykey":

keytool -export -alias mykey -file MJ.cer

Given that certificate, and the signed JAR file, a client can use the jarsigner tool to authenticate your signature.

wie checke ich denn jetzt mit dem jarsigner das signierte jar gegen mein keystore? denn wenn ich einfach nur

jarsigner -verify myjar.jar

mache kommt immer ein

jar verified

raus, egal ob ich den das entsprechende zertifikat vorher in den keystore importiert habe oder ob ich überhaupt ein keystore habe...

jemand einen tip?

--anselmus

 

[L-ectron-X]

jarsigner -verify -verbose -certs myjar.jar

 

[Anselmus]

danke für den tip. hatte ich schon probiert, wußte allerdings nicht worauf ich achten muß und hatte somit das "k" übersehen.

dafür direkt die nächste frage:

ich bekomme immer das hier zur antwort:

jar verified.

Warning: This jar contains entries whose signer certificate will expire within s
ix months.

kann ich das expiring date irgendwie auf unendlich stellen?

--anselmus

 

[Anselmus]

außerdem würde ich gerne wissen, ob ich das ganze auch von ner java anwendung aus checken kann...

--anselmus

 

[L-ectron-X]

Die Dauer der Gültigkeit des Zertifikats (Verfallsdatum) lässt sich von wenigen Sekunden bis zu einem Zeitraum von bis zu 100 Jahren einstellen. Dazu muss der Aufruf von keytool um einen weiteren Parameter ergänzt werden.

keytool -selfcert -validity 3650 -alias Signer -dname "cn=L-ectron-X, ou=java-forum.org, c=DE"

Die Option -validity legt die Länge in Tagen fest. Für mein Beispiel ist das Zertifikat also 10 Jahre auf den Tag genau gültig.

 

[Anselmus]

ok. vielen dank.

kann ich das ganze auch in ner anwendung machen. sprich gibts ne api zum verifizieren von jars?

 

[L-ectron-X]

Weiß ich nicht. Was genau willst du machen?

 

[Anselmus]

mein tomcat soll die integrität von prüfsummen sicherstellen. da dachte cih cih pack sie einfach in ein jar und und signiere das. auf der konsole ist das ja auch alles prima, aber ich will (muß) es halt aus tomcat raus machen. aber ich nehme an der jarsigner ist auch java, also sollte es rigendwie gehen...