9 may. 2023

Firma de Código Java JKS: Generación e Instalación de Certificados

Propósito del artículo: Este artículo proporciona instrucciones paso a paso sobre cómo generar e instalar un certificado para la firma de código Java. Si esta no es la solución que está buscando, busque su solución en la barra de búsqueda de arriba. 
Nota: Esta guía es para reediciones de pedidos de firma de código realizados antes del 1 de febrero de 2017. Para pedidos nuevos o de renovación realizados después del 1 de febrero de 2017, consulte la guía basada en tokens que se encuentra aquí. 

Instrucciones

Una vez que haya recibido el correo electrónico con el asunto "Certificate Download Ready - ORDERID: Code Signing For Sun Java Certificate for Company Name" se le pedirá una Solicitud de firma de certificado (CSR). Usando keytool, deberá generar un nuevo almacén de llaves. 

1. Para generar un nuevo almacén de claves, utilice el siguiente comando como ejemplo:
   
   keytool -genkey -alias codesigningcert -keyalg RSA -keysize 2048 -keystore globalsign.jks
2. A continuación, se le pedirán los siguientes detalles:
   
   Introduzca la contraseña del almacén de claves:
   Vuelva a introducir la nueva contraseña:
   ¿Cuál es su nombre y apellido?
   [Desconocido]: Nombre de su empresa
   ¿Cuál es el nombre de su unidad organizativa?
   [Desconocido]: Departamento
   ¿Cuál es el nombre de su organización?
   [Desconocido]: Nombre de la empresa
   ¿Cuál es el nombre de su ciudad o localidad?
   [Desconocido]: Ciudad
   ¿Cuál es el nombre de su Estado o Provincia?
   [Desconocido]: Estado/Condado
   ¿Cuál es el código de país de dos letras para esta unidad?
   [Desconocido]: País

   ¿Es CN=Nombre de su empresa, OU=Departamento, O=Nombre de la empresa, L=Ciudad, ST=Condado, C=País correcto?
   [no]: sí

   Introduzca la contraseña de clave para codesigningcert
   (REGRESAR si es igual que la contraseña del almacén de llaves):

3. Ahora ha creado el almacén de claves con la información relevante de claves y certificados que necesita para crear una CSR. Esto se puede hacer con el siguiente comando. Nota: Asegúrese de especificar el alias de la clave.
   
   keytool -certreq -alias codesigningcert -file codesigningcert.csr -keystore globalsign.jks
   Introduzca la contraseña del almacén de llaves:
4. El CSR ya se ha generado. Abra la CSR con el Bloc de notas, o cualquier software de edición de texto, y péguela en la página de recogida que recibió por correo electrónico.
5. En la última página se le presentarán 2 descargas. Haga clic para descargar ambos.
   
   
   Se recomienda descargar el certificado de CA raíz de GlobalSign que se puede obtener en el artículo de soporte de Certificados Raíz. Tenga en cuenta que el certificado raíz requerido si tiene un certificado SHA-256 (emitido el 31/03/2014 y posterior), necesitará el Root-R3.crt.


6. Ahora tendrá tres archivos descargados. El siguiente paso es importarlos usando keytool. Utilice los siguientes comandos (texto en negrita):
   
   keytool -import -v -trustcacerts -alias root -file Root-R1.crt -keystore globalsign.jks​
   Introduzca la contraseña del almacén de claves:
   El certificado ya existe en el almacén de claves de CA de todo el sistema bajo el alias globalsignca
   ¿Todavía quieres agregarlo a tu propio almacén de claves? [no]: sí
   Se agregó el certificado al almacén de claves
   [Almacenamiento de globalsign.jks]​​​​​​​
   
   keytool -import -v -trustcacerts -alias intermediate -file intermediate1.cer -keystore globalsign.jks
   Introduzca la contraseña del almacén de claves:
   Se agregó el certificado al almacén de claves
   [Almacenamiento de globalsign.jks]
   
   Es muy importante al importar su certificado, que especifique el mismo alias que la clave privada, de lo contrario obtendrá "Certificado agregado al almacén de claves" en lugar de lo siguiente:
   
   ​keytool -import -trustcacerts -alias codesigningcert -file OS2013********.cer -keystore globalsign.jks
   Introduzca la contraseña del almacén de claves:
   La respuesta al certificado se instaló en el almacén de llaves

​Ha importado correctamente los certificados necesarios. Ahora está listo para comenzar a firmar sus applets de Java. Hay algunos métodos de firma, ya sea utilizando la herramienta de Firma de Código GlobalSign o directamente con el jarsigner como se muestra a continuación:

jarsigner -keystore globalsign.jks -tsa http://timestamp.globalsign.com/tsa/r6advanced1 codesigner.jar "codesigningcert"

Habrá firmado correctamente su aplicación java incluyendo una marca de tiempo. Si experimenta problemas, vuelva a ejecutar el comando anterior, pero incluya -verbose dentro del comando para ver cualquier error. También puede comprobar si ha firmado el archivo mediante el siguiente comando:​​​​​​​

jarsigner -verify codesigner.jar
jar verificado.
​
Recursos Adicionales:
Java Development Kit: http://www.oracle.com/technetwork/java/javase/downloads/index.html