Jar包GPG数字签名方法

最新推荐文章于 2025-10-24 10:36:00 发布
原创 最新推荐文章于 2025-10-24 10:36:00 发布 · 1.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jar #java #maven

本文介绍了在软件发布中采用GPG签名以验证软件包完整性的必要性,详细阐述了GPG签名原理和Maven的使用方法。通过在Gitlab-CI中配置GPG签名,确保生产环境中发布的jar包安全可靠,客户可以通过验证公钥和签名文件确认软件来源。

文章目录

需求背景

在这里插入图片描述
你有没有发现,从Maven仓库下载文件的时候,除了我们需要的jar包之外,还有个.asc文件,这个文件就是jar包的数字签名,咱可以通过这个数字签名来验证jar包是否确实是Oracle官方发布的包:
在这里插入图片描述

对于我们的客户,生产环境上运行的程序,有些是从公司 gitlab-ci 上编译出来的,有些是开发者个人电脑上编译出来的,还有的是客户自己改代码后编译出来的,程序出问题后,到底是谁的责任呢?比如,executor-proxy-provider.jar 可以直接接触到客户生产环境的数据,万一这个文件被人恶意篡改,把客户数据删掉了,咋整…

所以,咱也需要将公司对外的jar包做个签名,客户拿到jar包后,可以根据签名文件来确认是不是官方的包。

GPG签名原理

参考下这个链接:https://www.ruanyifeng.com/blog/2013/07/gpg.html

大体流程是:

  1. 使用GPG生成一对密钥,公钥和私钥
  2. 使用私钥对文件进行签名,并生成签名文件
  3. 将文件、该文件对应的签名文件 以及 公钥,同时对外公布
  4. 用户使用公钥和签名文件,对该文件进行签名验证

Maven使用GPG签名

参考下官方链接:https://maven.apache.org/plugins/maven-gpg-plugin/usage.html

最低0.47元/天 解锁文章
GPG加密解密
single_g_l的博客
08-13 5747
由于公钥服务器没有检查机制,任何人都可以用你的名义上传公钥,所以没有办法保证服务器上的公钥的可靠性。通常,你可以在网站上公布一个公钥指纹,核对下载到的公钥是否为真。然后通过交换机制,所有的公钥服务器都会含你的公钥。至于邮件的加密,不同的邮件客户端有不同的设置。最好再生成一张"撤销证书",以备以后密钥作废时,可以请求外部的公钥服务器撤销你的公钥。生成自己的密钥后,还要[import参数]将他人的公钥或者你的其他密钥导入系统。想要获得他人的公钥,可以让对方直接发给你,或者到公钥服务器上找。...
java JAR签名
04-08
java JAR签名java JAR签名java JAR签名java JAR签名java JAR签名
jar 自动数字签名工具
10-19
可以自动完成对jar数字签名 如对挂在网页上的applet进行数字签名
如果给jar制作数字签名
03-21
按照文档中一步步的做就可以做签名工具给jar数字签名了很有用
什么是GPG签名,Signed-off-by
最新发布
张紫娃的博客
10-24 213
伪造),而 GPG 签名通过非对称加密技术,为提交添加 “数字指纹”,解决了 “提交身份伪造” 和 “内容篡改” 问题。开发者先通过 GPG 生成一对密钥 ——私钥(自己保管,用于 “签名”)和公钥 (公开分享,用于 “验证”)。提交代码时,用自己的私钥对提交内容(括代码快照、作者信息等)进行加密,生成一个 “签名串”,附加到提交对象中。其他人获取该提交后,用提交者公开的公钥解密签名串。Git 本身的提交信息(作者、邮箱)是可以手动修改的(例如通过。,确保该提交确实来自声称的作者,且未被篡改。
Jar文件的数字签名
Robin Hu的专栏
12-13 4793
JAR文件可以用 jarsigner工具或者直接通过 java.securityAPI 签名。签名后的JAR 本身的文件文件与原来JAR本身的 文件完全相同,只是更新了它的 manifest文件,并在 META-INF 目录中增加了两个文件,一个签名文件和一个签名块文件。 如果你对数字签名还不熟悉,请先阅读《数字签名简介》,《Java数字签名和数字证书》 JAR文件可以用一个存储在 Keys
Jar 文件数字签名
hunterK的专栏
09-06 7441
JAR 文件中的安全性JAR 文件可以用 jarsigner 工具或者直接通过 java.security API 签名。一个签名的 JAR 文件与原来的 JAR 文件完全相同,只是更新了它的 manifest,并在 META-INF 目录中增加了两个文件,一个签名文件和一个签名块文件。 JAR 文件是用一个存储在 Keystore 数据库中的证书签名的。存储在 keystore 中的证书
使用 GPG 对RPM进行签名
路人丙的奋斗史
03-18 1089
使用 GPG 对RPM进行签名 RPM软件签名可用于对RPM软件实施加密完整性检查。 首先生成 gpg 的密钥对 $ sudo gpg --gen-key gpg: WARNING: unsafe ownership on homedir '/home/kyle/.gnupg' gpg (GnuPG) 2.2.4; Copyright (C) 2017 Free Software Foundation, Inc. This is free software: you are free to chan
Jar的签名和验签
hello
06-18 3655
Jar文件的数字签名 JAR文件可以用 jarsigner工具或者直接通过 java.securityAPI 签名。签名后的JAR 本身的文件文件与原来JAR本身的 文件完全相同,只是更新了它的 manifest文件,并在 META-INF 目录中增加了两个文件,一个签名文件和一个签名块文件。 ...
Jar 签名
weixin_30425949的博客
08-20 780
1,加密、摘要和数字签名 (1)公钥加密算法 关于公钥加密算法,参考维基百科词条 Public-key cryptography。 公钥加密算法又称为非对称密钥加密算法,因为它含一个公钥-私钥对,称为key pair。即 key pair = private key + public key。 从功能上说,两个key作用相同,用一个key加密的消息,只能用另一个key解密...
Windows平台GPG签名生成和发布
01234567890
09-06 2388
第一:下载GPG (https://www.gnupg.org/download/ 第二步:安装 第三步:创建证书 第四步:查看自己的秘钥是否发布到服务器上 1.打开网址 https://keys.openpgp.org/ 2.输入自己秘钥的邮箱地址或其他进行搜索 3.发布自己秘钥 第五步:再次打开刚才秘钥搜索页面, ...
jar签名文
08-08
jar进行数字签名文档 Java Web Start相关
GPG签名及加密
05-17
此文档详细介绍使用GPG的签名和加密的原理及过程!推荐!
jar签名和打工具
09-08
java jar签名和打(gz)工具,具体如何使用,在工具对应文件夹中都有详细的说明。xxxx.jks只需要自行放进对应路径中即可。
1.7JAR签名工具
09-17
jar签名工具,需要的朋友知道是什么东西,特别好用,不要错过
java jar签名
weixin_44826514的博客
07-22 2410
JAR文件可以用 jarsigner工具或者直接通过 java.securityAPI 签名。签名后的JAR 本身的文件 文件与原来JAR本身的 文件完全相同,只是更新了它的 manifest文件,并在 META-INF 目录中 增加了两个文件,一个签名文件和一个签名块文件。 JAR文件可以用一个存储在 Keystore数据库中的证书进行签名的。存储在 keystore 中的证书 有密码保护,必须向 jarsigner工具提供这个密码才能对 JAR 文件签名。 Jar文件使用jarsigner签名以后,在M
JAR文件签名
乐只悠悠
03-17 3439
JAR文件签名   可以使用jarsigner命令或java.security API对JAR文件进行签名。一旦对JAR文件进行签名,那么JAR文件中每个文件都将被签名,并且在META-INF目录下生成*.SF、.DSA、.RSA或SIG-*文件(不同类型的数字签名生成不同扩展名的签名块文件DSA/RSA)。   签名之后的JAR文件与原来的JAR文件完全相同,只是更新了MANIFEST.MF文件和在META-INF目录增加签名文件和签名块文件。 *.SF:JAR文件的签名文件。 *.DSA:与签名文件关联
Java安全——数字签名
xnxqwzy的博客
02-21 1371
这个命令会使用密钥库中的信息对xyz.jar文件进行签名。sdo是密钥库中的一个实体,通过它可以找到相应的私钥来进行签名。工具使用密钥库中的信息来查找特定的实体,并使用这些信息对jar文件进行签名或验证签名。该类提供了数字签名算法的功能,可以用于对数据进行签名和验证签名。类的使用是实现数字签名的核心。最后,使用公钥验证签名。这个命令会验证xyz.jar文件的签名是否有效。通过解析这些关键信息,我们可以验证签名的有效性。同样,我们可以使用类中的。方法验证签名的有效性。签名的jar文件可以通过Java的。
xxljob打jar报错Could not determine gpg version
03-08
### XXL-JOB Maven Jar 报错 Could Not Determine GPG Version 当遇到 `Could not determine gpg version` 错误时,这通常意味着在构建过程中尝试使用 GPG 进行签名操作失败。此问题可能由多种因素引起,括但不限于未安装 GPG 或者配置文件中的路径设置有误。 #### 安装并验证 GPG 工具 确保已正确安装 GPG 并能够通过命令行访问它。可以通过运行以下命令来确认: ```bash gpg --version ``` 如果上述命令返回了版本信息,则说明环境已经准备好;如果没有找到该程序则需按照官方文档指南完成安装过程[^1]。 #### 配置 PGP 密钥 对于需要发布到公共仓库的情况,应该拥有自己的密钥对用于签署制品。生成新的密钥对可以参照下面的方法: ```bash gpg --gen-key ``` 之后根据提示输入必要的个人信息即可创建一对私钥/公钥组合。为了使 Maven 能够识别这些密钥,在项目的根目录下编辑或新建 `.mvn/maven.config` 文件加入如下内容以便指定使用的具体 ID 和密码(建议采用更安全的方式管理敏感数据): ```properties -Dgpg.keyname=<your_key_id> -Dgpg.passphrase=<your_pass_phrase> ``` #### 修改 pom.xml 添加插件配置 为了让 Spring Boot 应用能够在打阶段自动处理好 GPG 签名事宜,可以在 `pom.xml` 中添加相应的 plugin 设置: ```xml <build> <plugins> <!-- Other plugins --> <plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-gpg-plugin</artifactId> <executions> <execution> <id>sign-artifacts</id> <phase>verify</phase> <goals> <goal>sign</goal> </goals> </execution> </executions> </plugin> <!-- Ensure the correct Java and Maven versions are used --> <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> <configuration> <mainClass>${start-class}</mainClass> </configuration> </plugin> </plugins> </build> ``` 以上更改使得每次执行 `mvn deploy` 命令时都会调用 maven-gpg-plugin 来为产生的 artifacts 加上数字签名[^2]。 #### 排查其他潜在问题 有时即使完成了前面几步仍然会出现无法解析 GPG 版本的问题。此时应当仔细检查是否存在防火墙阻止连接至远程服务器获取最新更新的情形,或者是本地缓存里保存着损坏的数据影响正常运作。清理用户家目录下的 .gnupg 缓存以及重新同步中央库也许会有帮助[^3]。 #### 使用替代方案 考虑到某些情况下确实难以解决原生支持所带来的难题,也可以考虑利用第三方服务如 Sonatype Nexus Repository Manager 提供的 OSSRH (OSS Release Hosting) 功能实现自动化部署流程而无需亲自操刀进行繁琐的手动签名步骤[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值