4 de jul. de 2022

Como Gerar e Instalar o Certificado de Assinatura de Código Java JKS

Assinatura de Código Java JKS - Geração e Instalação de Certificado

Objetivo do Artigo: Este artigo fornece instruções passo-a-passo sobre como em gerar e instalar um certificado para Assinatura de Código Java . Se esta não é a solução que você está procurando, por favor, procure a sua solução na barra de pesquisa acima.

Depois de ter recebido o e-mail com o assunto "Certificate Download Ready - ORDERID: CodeSigning For Sun Java Certificate for Company Name",será solicitado um Pedido de Assinatura de Certificado (CSR). Usando keytool, você vai precisar para gerar um novo armazenamento de chaves.
 
Para gerar um novo armazenamento de chaves usar o comando a seguir como exemplo:

keytool -genkey -alias codesigningcert -keyalg RSA -keysize 2048 -keystore globalsign.jks

Em seguida, será solicitado os seguintes detalhes:

Enter keystore password:
Re-enter new password:
What is your first and last name?
[Unknown]: Your Company Name
What is the name of your organizational unit?
[Unknown]: Department
What is the name of your organization?
[Unknown]: Company Name
What is the name of your City or Locality?
[Unknown]: City
What is the name of your State or Province?
[Unknown]: State/County
What is the two-letter country code for this unit?
[Unknown]: Country
Is CN=Your Company Name, OU=Department, O=Company Name, L=City, ST=County, C=Country correct?
[no]: yes

Enter key password for codesigningcert
(RETURN if same as keystore password):

Você já criou o armazenamento com a chave e o certificado que contém as informações relevantes que você precisa para criar um CSR. Isto pode ser feito com o comando seguinte. Nota: Certifique-se de especificar o alias para a chave.

keytool -certreq -alias codesigningcert -file codesigningcert.csr -keystore globalsign.jks
Enter keystore password:

O CSR já foi gerado. Abra o CSR com o bloco de notas, ou qualquer outro software de edição de texto e coloque na página que você recebeu por e-mail.
Na última página, você será presenteado com 2 downloads. Clique para baixar ambos.


Recomenda-se fazer o download do certificado Raiz GlobalSign que pode ser obtido a partir do Artigo de suporte ou Baixe o arquivo .CRT diretamente.
Você terá agora três arquivos baixados. O próximo passo é importar esses usando keytool. Utilize os seguintes comandos (negrito):

keytool -import -v -trustcacerts -alias root -file Root-R1.crt -keystore globalsign.jks​
Enter keystore password:
Certificate already exists in system-wide CA keystore under alias globalsignca
Do you still want to add it to your own keystore? [no]: yes
Certificate was added to keystore
[Storing globalsign.jks]

keytool -import -v -trustcacerts -alias intermediate -file intermediate1.cer -keystore globalsign.jks
Enter keystore password:
Certificate was added to keystore
[Storing globalsign.jks]

É muito importante quando importar o certificado você especificar o mesmo alias como a chave privada, caso contrário você vai ficar "Certificado adicionado ao armazenamento de chaves" em vez do seguinte:

keytool -import -trustcacerts -alias codesigningcert -file OS2013********.cer -keystore globalsign.jks
Enter keystore password:
Certificate reply was installed in keystore​

Você importou com êxito os certificados necessários. Você está agora pronto para começar a assinar seus applets Java. Existem alguns métodos de assinatura, também usando a Ferramenta de Assinatura de código GlobalSign ou diretamente com o jarsigner como mostrado abaixo:

jarsigner -keystore globalsign.jks -tsa http://timestamp.globalsign.com/tsa/r6advanced1 codesigner.jar "codesigningcert"

http://timestamp.globalsign.com/tsa/r6advanced1 Você assinou com sucesso seu aplicativo Java, incluindo um timestamp. Se você tiver problemas, por favor execute o comando acima novamente, mas inclua -verbose dentro do comando para ver os erros. Você também pode verificar se você assinou o arquivo usando o seguinte comando:

jarsigner -verify codesigner.jar
jar verified.