4

keytool のドキュメントには、「jarsigner [...] は、その証明書の公開鍵が「信頼できる」かどうか、つまり、指定されたキーストアに含まれているかどうかを確認する」と書かれていることに気付きました。一方、jarsigner のマンページには、「検証時にキーストアは必要ありません [...]」と記載されており、ユーティリティは常に jar で提供された証明書に対して検証することが示されています。jar が署名されてから変更されていないことを証明するだけで、特定の機関/サプライヤーによって署名されたことは証明されないため、目的に反するようなものだと思います。

jar の署名に使用された証明書がランタイム システムで認識されていない/信頼されていない場合、検証を失敗させる方法はありますか? または、スクリプトを使用して jarsigner -verify -verbose -keystore ... を呼び出し、出力を解析して、ローカル (ランタイム) キーストアに署名証明書のエントリがあるかどうかを確認する必要がありますか?

困惑、ピーター

4

1 に答える 1

0

jarsignerユーティリティは、署名者証明書を検証せず、署名の信頼できるタイムスタンプをチェックせず、使用可能な結果を​​提供しないため、JAR 署名の検証にはまったく役に立ちません (コンソール出力の解析は適切な解決策ではありません)。

この制限を回避するために、独自のverify_jarユーティリティを作成することにしました。

于 2012-06-14T06:38:44.323 に答える