32、Java平台安全：证书、JAR签名与安全策略管理

寂静夜空35

于 2025-11-02 12:31:30 发布

阅读量14

点赞数

CC 4.0 BY-SA版权

分类专栏： Java安全架构深度解析文章标签： Java安全证书链 JAR签名

本文链接：https://blog.youkuaiyun.com/vulkan6gpu/article/details/154427748

Java安全架构深度解析专栏收录该内容

35 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

Java平台安全：证书、JAR签名与安全策略管理

1. 证书链修改与生成

在某些场景下，需要更改与副本关联的证书链，使链中的第一个证书使用新的X.500可分辨名称（DN）。以下是具体操作步骤：
1. 生成自签名证书 ：使用 keytool 工具生成带有适当部门名称的自签名证书。示例命令如下：

keytool -selfcert -alias sMillerNew -dname "cn=Susan Miller, ou=Accounting Department, o=BlueSoft, c=us"

生成证书签名请求（CSR） ：利用新证书中的信息生成CSR。命令如下：

keytool -certreq -alias sMillerNew

提交CSR并导入CA证书回复 ：将生成的CSR提交给证书颁发机构（CA），并导入CA的证书回复。示例命令：

keytool -import -alias sMillerNew -file VSSMillerNew.cer

移除旧DN的初始密钥条目（可选） ：如果需要，可以移除使用旧DN的初始密钥条目。命令如下：

keytool -delete -alias sMiller

2. JAR文件签名与验证

Java Archive（JAR）功能允许将类文件、图像、声音和其他数据打包到单个文件中，便于快速分发。 jarsigner 工具可用于对JAR文件进行签名和验证签名及完整性。

2.1 签名JAR文件

jarsigner 工具使用密钥库中的私钥和证书信息为JAR文件生成数字签名。签名时，需要指定密钥库的位置和包含生成签名所需私钥的密钥库条目的别名。
- 覆盖源文件签名 ：以下命令将使用 /working 目录下名为 mystore 的密钥库中与别名 duke 关联的私钥对 MyJARFile.jar 进行签名，并覆盖原文件：

jarsigner -keystore /working/mystore -storepass myspass -keypass dukekeypasswd MyJARFile.jar duke

指定签名后文件名 ：若不想覆盖源文件，可使用 -signedjar 选项指定签名后JAR文件的名称。示例如下：

jarsigner -keystore /working/mystore -storepass myspass -keypass dukekeypasswd -signedjar MySignedJF.jar MyJARFile.jar duke

指定密钥库类型 ：由于密钥库可能有不同类型， jarsigner 工具提供了 -storetype 选项。若未明确指定密钥库类型， jarsigner 将根据 keystore.type 安全属性的值选择密钥库实现。可通过以下方法获取该属性值：

java.security.KeyStore.getDefaultType();
java.security.Security.getProperty("keystore.type");

签名算法 ：目前，SDK的 jarsigner 默认实现只能对SDK的 jar 工具创建的zip文件或JAR文件进行签名。如果签名者的公钥和私钥是DSA密钥， jarsigner 将使用 SHA1withDSA 算法签名；若是RSA密钥，则尝试使用 MD5withRSA 算法签名。默认的SUN提供程序支持这两种签名算法。

2.2 签名后的JAR文件结构

使用 jarsigner 签名JAR文件后，输出的签名JAR文件与输入文件基本相同，但在 META-INF 目录下会新增两个文件：
- 签名指令文件（SF文件） ：扩展名为 .SF ，类似于JAR文件中的清单文件，包含每个源文件的文件名、使用的摘要算法名称和摘要值。默认情况下，还包含整个清单文件的哈希头，有助于验证优化。
- 签名块文件 ：扩展名根据使用的数字签名算法而异，如使用DSA算法时扩展名为 .DSA 。该文件包含为SF文件生成的签名，以及用于验证签名的公钥对应的证书或证书链。

这两个文件的基本文件名来自 -sigFile 选项的值。若未指定该选项，则SF和DSA文件的基本文件名是命令行中指定别名的前八个字符（若别名少于八个字符，则为别名本身），并转换为大写。

2.3 多签名JAR文件

一个JAR文件可以由多个人签名，只需多次运行 jarsigner 工具，每次指定不同的别名即可。例如：

jarsigner myBundle.jar susan
jarsigner myBundle.jar kevin

多次签名后，生成的JAR文件将包含多对SF和签名块文件，每对文件对应一个签名。

2.4 验证JAR文件

验证签名的JAR文件可确保其完整性和真实性。示例验证命令如下：

jarsigner -verify MySignedJF.jar

成功验证JAR文件的条件是签名有效，且自签名生成以来JAR文件中的任何文件都未被更改。验证过程包括以下步骤：
1. 验证SF文件的签名 ：确保每个签名块文件（如 .DSA 文件）中存储的签名确实是使用与公钥对应的私钥生成的，且该签名是对应签名（SF）文件的有效签名，从而保证SF文件未被篡改。
2. 验证SF文件中每个条目的摘要 ：将SF文件中列出的摘要与清单中的相应部分进行比较。若SF文件包含整个清单文件的哈希头，可直接检查头中的哈希是否与清单文件的哈希匹配。若不匹配，则需检查SF文件中每个源文件信息部分的哈希是否等于其在清单文件中对应部分的哈希。
3. 验证SF文件中提及的每个文件 ： jarsigner 实用程序读取JAR文件中在SF文件中有条目的每个文件，计算其摘要并与清单部分中的摘要进行比较。若摘要不同，则验证失败。

以下是一个签名和验证JAR文件的示例：
- 签名JAR文件 ：假设要使用 /working 目录下名为 mystore 的密钥库中别名 jane 对应的私钥对 bundle.jar 进行签名，并将签名后的JAR文件命名为 sbundle.jar ，命令如下：

jarsigner -keystore /working/mystore -storepass myspass -keypass j638klm -signedjar sbundle.jar bundle.jar JANE

验证签名后的JAR文件 ：使用以下命令验证 sbundle.jar ：

jarsigner -verify sbundle.jar

若验证成功，将显示 jar verified 消息；否则，将显示错误消息。使用 -verbose 选项可获取更多验证过程信息：

jarsigner -verify -verbose sbundle.jar

若在验证时同时指定 -certs 选项，输出将包括每个签名者的证书信息、签名者的DN信息（仅当证书为X.509证书时）以及签名者的密钥库别名（若JAR文件中的公钥证书与密钥库条目中的证书匹配）。

3. X.500可分辨名称（DN）

在某些情况下，各种属性或选项的值需要包含X.500可分辨名称（DN）字符串。例如， keytool 生成密钥对的命令需要DN作为 -dname 选项的值，指示为哪个实体生成密钥；策略文件主体条目中， javax.security.auth.x500.X500Principal 类型的主体值必须指定为DN；X.509证书的主题和颁发者（签名者）字段也使用DN来标识实体。

一个示例X.500 DN字符串如下：

"CN=Duke, OU=Java Software, O=Sun, L=Santa Clara, S=CA, C=US"

其中，关键字缩写的含义如下：
| 缩写 | 含义 |
| ---- | ---- |
| CN | commonName |
| OU | organizationUnit |
| O | organizationName |
| L | localityName（城市） |
| S | stateName（州或省） |
| C | country（两位国家代码） |

DN关键字缩写不区分大小写，但关键字的顺序很重要，每个子组件必须按指定顺序 CN, OU, O, L, S, C 出现。不过，并非所有子组件都必须存在，允许使用子集。

4. 非专业人员的安全策略管理

Java 2安全架构的部署涉及技术细节，如配置安全策略、创建密钥和证书以及对包含类的JAR文件进行签名，这对于非专业计算机用户来说可能过于复杂。以下是两种适合非专业人员处理安全策略复杂问题的方法：
1. 寻求专业管理 ：
- 企业环境 ：系统管理员和信息资源部门可负责为企业员工建立和部署安全策略。例如，员工可被指示将浏览器配置为指向中央控制的网页以获取当前安全策略，或者公司可定制浏览器版本并分发给员工。企业应用程序开发者也可将安全策略管理集成到应用中，使普通用户无需处理或了解底层安全管理功能。
- 个人用户 ：互联网服务提供商（ISPs）是安全建议和管理的良好来源，许多ISPs已提供有限的安全机制，如防火墙和垃圾邮件过滤，因此他们有能力为可执行内容和移动代码提供安全策略管理帮助。
2. 关注人机界面 ：
- 由于大多数计算机和互联网用户难以理解安全问题，且不同用户对安全的理解差异较大，Java 2平台未提供统一的人机界面来处理安全策略和管理。相反，它期望软件供应商将这些功能集成到自己的系统环境中，并根据特定用户群体定制内容和展示方式。
- 应用程序开发者可将安全解决方案嵌入到应用中，使普通用户无需处理安全问题。例如，一个提供类似AOL风格互联网访问和用户体验的Java应用程序，可“锁定”所需的特定安全策略，除初始登录过程外，用户无需处理其他安全问题，甚至可能意识不到应用程序中正在做出复杂的安全决策。

安全管理和用户界面仍是一个研究不足的领域，随着广泛的安全解决方案的普及，开发者将对安全技术的这一重要方面有更深入的了解。

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;

    A([开始]):::startend --> B(生成自签名证书):::process
    B --> C(生成证书签名请求):::process
    C --> D(提交CSR并导入CA证书回复):::process
    D --> E{是否移除旧DN密钥条目}:::decision
    E -->|是| F(移除旧DN的初始密钥条目):::process
    E -->|否| G(进行JAR文件签名):::process
    F --> G
    G --> H(验证JAR文件):::process
    H --> I([结束]):::startend

以上流程图展示了从证书链修改到JAR文件签名和验证的整个过程。首先生成自签名证书，接着生成CSR并提交给CA，根据需要移除旧DN的密钥条目，然后进行JAR文件签名，最后验证签名后的JAR文件。

通过以上内容，我们了解了Java平台中证书链修改、JAR文件签名与验证的详细操作，以及非专业人员管理安全策略的方法。这些技术和策略有助于确保Java应用程序的安全性和完整性。

Java平台安全：证书、JAR签名与安全策略管理（续）

5. 实际应用案例分析

为了更好地理解上述Java平台安全技术的应用，下面通过一个实际案例进行详细分析。

假设一家名为BlueSoft的公司，其开发团队需要将新开发的Java应用程序以JAR文件的形式分发给客户。为了确保JAR文件的完整性和真实性，防止被篡改，开发团队决定对JAR文件进行签名。

5.1 准备工作

生成密钥对和证书 ：开发团队成员Susan Miller需要更新她的证书信息。首先，她使用以下命令生成一个自签名证书：

keytool -selfcert -alias sMillerNew -dname "cn=Susan Miller, ou=Accounting Department, o=BlueSoft, c=us"

接着，生成证书签名请求（CSR）：

keytool -certreq -alias sMillerNew

将CSR提交给公司内部的证书颁发机构（CA），并导入CA的证书回复：

keytool -import -alias sMillerNew -file VSSMillerNew.cer

如果需要，移除旧的密钥条目：

keytool -delete -alias sMiller

5.2 签名JAR文件

开发团队完成应用程序的开发后，将所有相关的类文件、图像和其他数据打包成一个名为 MyApp.jar 的JAR文件。现在，他们使用 jarsigner 工具对该JAR文件进行签名。假设密钥库位于 /working/mystore ，密钥库密码为 myspass ，Susan Miller的私钥密码为 sMillerPass ，并希望将签名后的JAR文件命名为 MyAppSigned.jar ，则使用以下命令：

jarsigner -keystore /working/mystore -storepass myspass -keypass sMillerPass -signedjar MyAppSigned.jar MyApp.jar sMillerNew

5.3 验证JAR文件

客户收到签名后的JAR文件 MyAppSigned.jar 后，需要验证其签名的有效性。客户可以使用以下命令进行验证：

jarsigner -verify MyAppSigned.jar

如果验证成功，将显示 jar verified 消息。为了获取更多详细信息，客户可以使用 -verbose 选项：

jarsigner -verify -verbose MyAppSigned.jar

如果还想查看签名者的证书信息，可以同时指定 -certs 选项：

jarsigner -keystore mystore -verify -verbose -certs MyAppSigned.jar

6. 安全策略管理的最佳实践

在实际应用中，为了更好地管理Java平台的安全策略，非专业人员和专业人员都可以遵循以下最佳实践：

6.1 定期更新证书和密钥

证书和密钥都有一定的有效期，过期的证书和密钥可能会导致安全问题。因此，应定期检查并更新证书和密钥，确保其有效性。例如，每年对证书进行一次更新。

6.2 严格控制密钥库的访问权限

密钥库包含私钥等敏感信息，必须严格控制其访问权限。只有经过授权的人员才能访问密钥库，并且要使用强密码保护密钥库。例如，设置复杂的密钥库密码，并定期更换。

6.3 监控和审计安全事件

建立安全监控和审计机制，及时发现和处理安全事件。例如，记录所有对JAR文件的签名和验证操作，定期审查这些记录，以确保没有异常行为。

6.4 教育和培训用户

对使用Java应用程序的用户进行安全培训，提高他们的安全意识。例如，向用户解释安全策略的重要性，以及如何正确验证JAR文件的签名。

7. 总结与展望

通过对Java平台安全技术的介绍，我们了解了证书链修改、JAR文件签名与验证的详细操作，以及非专业人员管理安全策略的方法。这些技术和策略对于确保Java应用程序的安全性和完整性至关重要。

在未来，随着互联网技术的不断发展，Java平台的安全问题将面临更多的挑战。例如，随着移动应用的普及，如何确保移动Java应用的安全将成为一个重要的研究方向。同时，随着人工智能和大数据技术的应用，如何利用这些技术来提高Java平台的安全性能也是值得探索的领域。

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;

    A([开始]):::startend --> B(准备工作):::process
    B --> C(生成密钥对和证书):::process
    C --> D(签名JAR文件):::process
    D --> E(验证JAR文件):::process
    E --> F{验证是否成功}:::decision
    F -->|是| G(正常使用JAR文件):::process
    F -->|否| H(检查问题并重新签名):::process
    H --> D
    G --> I([结束]):::startend

以上流程图展示了一个完整的JAR文件签名和验证的应用流程。从准备工作开始，生成密钥对和证书，然后对JAR文件进行签名，接着进行验证。如果验证成功，则可以正常使用JAR文件；如果验证失败，则需要检查问题并重新签名。

总之，Java平台的安全技术是一个不断发展和完善的领域，我们需要不断学习和掌握新的安全知识和技术，以应对日益复杂的安全挑战。

最佳实践	描述
定期更新证书和密钥	确保证书和密钥在有效期内，避免过期带来的安全风险
严格控制密钥库访问权限	防止敏感信息泄露，使用强密码保护密钥库
监控和审计安全事件	及时发现和处理异常行为，保障系统安全
教育和培训用户	提高用户安全意识，正确使用Java应用程序

通过遵循这些最佳实践，可以有效地提高Java平台的安全性，保护用户的利益和数据安全。