我们处于一个大型组织,其中有几个应用程序是为内部和外部应用程序开发的。其中一个应用程序是作为Java Webstart应用程序分发的,经过大量试验和错误之后,我们现在已经进行了适当的签名和打包。Corporate Java Webstart Distribution:使用站点范围内接受的证书签署代码签名证书
唯一的问题:我们使用自签名证书。用户看到一个关于未知/未经验证的供应商的警告,这是不好的。
幸运的是,该组织的IT部门拥有一个在所有工作站上都可以接受的证书(我认为通过整个站点范围的策略)。如果我们使用这个认可的证书来签署JAR并创建Webstart存档,那么一切都应该没问题。当然,IT部门不希望向所有开发人员分发认可的证书或将其放置在构建服务器上,因为这会违反目的并引入大量漏洞。
什么是正确的方式来生成这个接受证书签署的代码签名证书?
我的假设的基础上,我从正常OpenSSL的程序,知道要生成Web服务器使用的证书:
- 生成CSR与
- 发送CSR到IT安全
- IT从生成证书与的CSR接受证书。此证书应该有一个短的有效期(1周/ 1月/ 1季度?)
- 导入到Java密钥工具签署
- 确保密钥工具只提供给授权用户
将这项工作?在安全或组织障碍方面是否有任何异议?
如果以上内容是正确的,我将需要一些指针,特别是与第3项。我发现了一个有点相关的问题:How do you sign Certificate Signing Request with your Certification Authority?。
任何帮助表示赞赏。