Java是一种流行的编程语言,大多数组织都使用它来开发业务应用程序。由于其高使用率,攻击者总是试图找到其中的漏洞并基于它利用软件。为了防止此类攻击, 为 Java 文件(.jar)进行代码签名并添加时间戳,可以防止攻击者读取代码并利用它。您还可以通过进一步提供的易于执行的步骤毫不费力地对.jar文件进行数字签名。本文将主要针对Java 文件的代码签名应用进行详细说明。
对 Java 文件进行签名的必要性及其先决条件
对 Java 文件进行数字签名的主要目的是保护它们免受非法篡改,并使它们与系统标准保持一致。运行Java代码时,含有数字签名的程序,操作系统不会向最终用户显示未知发布者警告。它有助于提高用户信心,从而直接有助于整体生产力。
此外,当您还为 java文件添加时间戳时,其有效性得到提升。它告诉系统在签名后没有人修改过软件。除此之外,时间戳还可帮助软件代码在代码签名证书过期后仍然保持数字签名的有效性。
此外,在运行签名和时间戳命令之前,必须完成以下要求:
安装最新版本的 JDK(Java 开发工具包)
将代码签名证书和关联的私钥导出到本地磁盘中的
导出证书,仅限 PFX 格式。
代码签名和时间戳要遵循的过程
要对 Java (.jar)文件进行数字签名,必须遵循以下分步过程。
步骤 1:创建.bat(批处理)文件。创建.bat文件后,编写命令并运行它,它将创建您的密钥库文件。
步骤 2:获取别名值。要从证书颁发机构(如:沃通)获取别名值。
步骤 3:运行签名和时间戳命令。打开命令提示符,并利用 jarsigner 实用程序对.jar文件进行数字签名和时间戳。
步骤 4:验证签名和时间戳。验证文件是否已签名。
多用途代码签名证书
多用途的代码签名证书,同一张代码签名证书可以为多种类型的代码文件进行数字签名:
支持.sys, .cat, .exe, .dll, .cab, .ocx( ActiveX )等文件数字签名。
支持 Adobe AIR的打包文件 .air, .airi等文件数字签名。
支持 火狐浏览器插件.XPI文件数字签名。
支持 Sun Java .jar (Java Applet) 文件(J2SE)
Silverlight应用加密签名(.xap)
js文件(Java Script)数字签名
微软Office VBA宏数字签名
更高级别的EV代码签名证书还额外支持Windows驱动程序签名、微软WHQL认证、 SmartScreen立即获得信誉等功能。
