問題タブ [code-signing-certificate]

ここで問題を確認するには、.txt ファイルを 2 回開くか (ダブルクリックまたは [ドキュメントの編集] を使用)、[グローブ] を押します。2 回目以降の試行では開かれません (Firefox および Chrome の場合)。Java コンソールに新しい行が表示されます。

証明書は有効です:

そして、コンソールの奇妙な行は次のとおりです。

Application-Library-Allowable-Codebase マニフェスト属性を追加しようとしましたが、タイムスタンプを追加しようとしました。

このセキュリティ例外を回避するためにセキュリティ制約を満たすにはどうすればよいですか?

Update1:アプレットはリロード後にもう一度実行できます。

Update2:この問題は JRE バージョン 1.7.0_45 では存在しません

私たちの組織は、8 年前に Java でいくつかのアプリケーションを開発しました。私たちの製品を環境にインストールしてサービスを提供している顧客が何人かいます。

Java 7 Update 51 では、Java がセキュリティを更新したため、公開証明書を使用して jar ファイルに署名するよう求めています。

お客様は、すべてのユーザーにセキュリティ レベルを下げるか、コントロール パネル Java の例外リストにサイトを追加するように依頼することに満足していません。

ここでの質問は、すべての顧客が 1 つの証明書を自分で購入して jar に署名する必要があるのか​​、それとも組織として証明書を購入し、単一の証明書をすべての顧客に使用できるのかということです。

コード署名機関に関する SO の他の投稿を確認しましたが、中心的な懸念事項に対処するものはありませんでした: あるコード署名機関と別のコード署名機関を使用すると、セキュリティ警告なしでアプレットを実行する機能に影響しますか? 現在、アプレットは署名されていないコードに関する警告を表示します。アプレットの実行時にこれらの警告を回避したいと考えています。

価格やその他の要因は別として、Java アプレットは、どのコード署名機関を選択しても、すべてのブラウザーで同じように機能するでしょうか?

Appstore への提出時のコード署名に疑問があります。プロファイルと証明書が作成され、現在アプリストアにあるアプリをアプリストアに送信しました。残念ながら、これらのプロファイルと証明書のバックアップがあったマシンを紛失しました。Prov Profile は私の開発者アカウントからダウンロードできることを知っています。

ここでの私の疑問は、1) .p12 のバックアップがないので、キーチェーンから新しい証明書を要求して続行する必要がありますか? 2) その場合、ユーザーは既存のアプリをアプリストアからアップグレードできますか?

前もって感謝します。

Wineの下でOS Xで実行できるWindowsアプリケーションがあります。便宜上、アプリケーションを OS X アプリ ( xxx.appWineBottler に基づくフォルダーの ZIP アーカイブ) としてパックします。

CFBundleExecutableアプリのメインの実行可能ファイル ( のタグで定義Info.plist) は、バイナリではなくシェル スクリプトであることに注意してください。

OS X Gatekeeper を通過するようにアプリケーションに署名したいと考えています。私の完全なビルド プロセスは Windows で実行されるため (実際には Mac をまったく持っていないため)、Windows で署名する必要があります。

_CodeSignatureアプリに署名すると、次の4 つのファイルを含むフォルダーが作成されることが既にわかりました。

これらのファイルの内容を説明する仕様は見つかりませんでした。

実験的に、これCodeResourcesはアプリ内のすべてのファイルの SHA-1 ハッシュを含む XML ファイルであることがわかりました。私はそれを生み出すことができます。

CodeRequirementsバイナリファイルの内容は固定のようです。アプリの内容と変わらないようです。ご確認いただければ幸いです。このファイルは何に適していますか?

バイナリファイルに関してはCodeDirectory、CodeSignature私には手がかりがありません。

どちらのファイルも、アプリのコンテンツによって変化します。アプリ ファイルの変更 (プレーン テキストのライセンス ファイルを含む) は、それらに影響を与えるようです。

CodeSignature明らかに署名が含まれています。ファイル内のコード署名証明書に関するプレーンテキスト情報を確認できます。ファイルを生成できるツールはありますか? 署名なので、かなり標準的なはずです。ただし、生成をより困難にする追加のバイナリ メタデータが存在する可能性があります。具体的に何に署名するか知っている人はいますか？CodeResourcesアプリ内の他のすべてのファイルを説明しているため、ファイルのみに署名していると想像できます。それとも、実際にアプリ内のすべてのファイルに再帰的に署名しますか?

ネイティブの OS X アプリCodeResourcesのみです。したがって、実際には署名はありません_CodeSignature。メインの実行可能バイナリに署名が埋め込まれているためだと思います。Info.plist私の [Windows] バイナリ (上記のように直接参照されていませんが) は、 Windows を使用してコード署名されていることに注意してくださいsigntool.exe。codesign -d -vvv xxx.app出力には証明書に関する情報が含まれているため、OS X は参照がなくても署名を認識しているようです。

紛らわしいのは、バイナリ名がまったく言及されていないことです。とにかく、それはゲートキーパーを喜ばせません。上記のテストは、既にCodeResourcesファイルが含まれているアプリに対して実行されることに注意してください (これはおそらく、ファイルの内容と一致するものとしてもSealed Resources version参照されます)。rulesfiles

Crossrider を使用してプラグインを開発しており、そのプロセスの一部としてコード署名証明書が必要でした。その際、私は以下の行動をとった

1. ここに示されているように、CSRを生成するためのGoDaddyの指示に従いました

2. CSR と秘密鍵をクライアントに送信し、CSC を購入するよう依頼しました。

3. クライアントが GoDaddy から .pem と .spc ファイルを送ってくれました

4. OpenSSL を使用して、.pem ファイルを Crossrider が必要とする .pfx に変換しました

   OpenSSL> pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.pem

5. OpenSSL が「エクスポート パスワードを入力してください」と要求したとき、CSR を生成したときと同じパスワードを使用しました。

6. .pfx ファイルを Crossrider にアップロードし、同じパスワードを再度入力しました

Crossrider は、ファイルまたはパスワードが無効であると言っています。上記の手順で間違いや見落としはありませんか?

更新: 04/30 4:45 PST

GoDaddy の .pem ファイルには既に 4 つ-----BEGIN CERTIFICATE-----の-----END CERTIFICATE-----グループが表示されているため、連鎖しているように見えますか? 生成した .pfx ファイルを OSX の KeyChain Access にインポートすると、会社名と GoDaddy によって発行されたすべての詳細が表示されます。

openssl を実行すると、これが得られることを確認します...

私はかなり迷っているので、何か提案をしてください。解決に役立つ情報を投稿できます。

私は単純な HelloWorld アプレットを持っています。それを HTML に埋め込んでいます。うまくいきました。しかし、アプレットを jar に入れて jar に署名しましたが、「自己署名付き jar はサポートできません」と表示されてロードされず、ICA 発行の証明書を使用して署名しています。さらに、1.7.51 バージョンより前は、この問題に直面したことはありませんでした。ところで：パラメータの追加についてOracleドキュメントを調べました

それによると、署名された MANIFEST.MF に次の属性を追加しようとしました: Permissions: サンドボックス、Trusted-Library: true しかし、これも役に立ちませんでした。何かが欠けているかどうかわかりません。

マニフェストは次のようになります。

コンソール ログの追加:

ありがとう。日