管理/部署代码签名证书- Java Applet

Question

我想知道如何管理/部署JVM在公司上下文中使用的代码签名证书。假设您签署了一个Java (由公司用户在浏览器中执行)，您如何处理证书，因为用户需要它来验证代码签名？

我们可以将其嵌入JVM中，但也可以通过windows证书存储中的GPO或公钥策略来部署它。什么是最好的解决方案？(切记撤销或续期程序)。

Answer 1

最好的方法似乎是使用来自著名CA的代码签名证书。由于众所周知的CA证书已经被客户端(浏览器、OS)信任，因此无需使用此设置进行额外维护。

Java & Web启动-代码签名说

...Users将通过在他们的系统上保持最新版本的JRE来得到更好的保护，再加上需要由受信任的证书机构签名的代码(而不是自签名或无符号代码).. value =‘value 1’>自签名对开发人员和intranet应用程序来说主要是有价值的，因为它还需要管理密钥库for Java.

当使用CA的证书时，更新没有任何问题，我们可以用更新的证书签名。可信时间戳，虽然增加了复杂性，但允许客户端验证您的签名，即使您的签名过期，因为它在签名操作期间是有效的(请参阅远程签名代码)。

在客户端使用联机证书状态协议(OCSP)检查证书吊销。有关详细信息，请参见Java部分的吊销检查部分这里。

尽管如此，有许多大型企业管理内部CA，主要用于颁发服务器证书。如果这样的基础设施已经到位，我们可能会假设内部CA证书已经以某种方式分配给客户端，以便客户机能够信任服务器。如果是这样的话，从同一个CA发出代码签名证书可能不会造成额外的管理开销。