打包第三方插件的常用数字签名策略是什么?
我的webstart应用程序在其JNLP中使用了许多扩展来使用各种库 . 例如,应用程序是使用Eclipse的equinox技术构建的,因此一些JAR使用Eclipse签名进行签名 . 虽然在安装时Java问“你想运行这个应用程序吗?”,但是名称:MyApplication,Publisher:Eclipse.org Foundation,Inc . 显然很难让最终用户认为MyApplication是由Eclipse编写的.ORG .
如果没有使用我自己的证书从头开始亲自编译和签署所有软件包,那么这种情况的最佳解决方案是什么?
我尝试简单地签署已经签名的Eclipse jar,但是当我运行jarsigner时,我得到:“无效的SHA1签名文件摘要”
1 回答
maven和ant有signjar插件,可以在其中指定密钥库(证书) .
如果您没有,请使用Java创建可以在其中键入Publisher名称的密钥库 .