Java可执行命令之jarsigner
- 1️⃣ 概念
- 2️⃣ 优势和缺点
- 3️⃣ 使用
- 3.1 语法
- 3.1.1 可选参数:jarsigner -keystore < url>
- 3.1.2 可选参数:jarsigner -storepass <口令>
- 3.1.3 可选参数:jarsigner -keypass <口令>
- 3.1.4 可选参数:jarsigner -tsa < url>
- 3.1.5 可选参数:jarsigner -verify
- 4️⃣ 应用场景
- 5️⃣ 使用技巧
- 🌾 总结
1️⃣ 概念
jarsigner是Java Development Kit (JDK) 提供的一个命令行工具,用于对JAR文件进行数字签名。它的设计目的是提供身份验证和完整性保护,确保在分发和发布Java应用程序时的安全性。
数字签名是一种用于确认数据的来源和完整性的机制。使用私钥对数据进行签名,并使用公钥进行验证。当用户下载应用程序时,可以使用与应用程序打包时使用的公钥进行验证,以确认应用程序未被篡改且来自可信的源。
jarsigner基于公钥基础设施 (Public Key Infrastructure, PKI) 技术。它使用非对称加密算法(如RSA)生成密钥对,并将私钥用于对JAR文件进行签名,而公钥用于验证签名。
当签名成功后,签名信息被添加到JAR文件的MANIFEST.MF文件中。验证时,使用公钥检查签名和时间戳是否有效。
2️⃣ 优势和缺点
优点:
- 确保应用程序的完整性:通过校验数字签名,可以验证应用程序没有被篡改;
- 防止篡改和中间人攻击:数字签名提供了认证机制,防止不被授权的修改或分发应用程序;
- 增加用户信任度:数字签名是建立与用户之间信任关系的重要方式。
缺点:
- 增加开发和部署复杂性:使用jarsigner需要额外的步骤来生成和管理密钥库、创建签名、以及进行时间戳等操作。
3️⃣ 使用
3.1 语法
以下是jarsigner命令的基本语法:
// 1、签名
jarsigner [-options] jar-file alias
// 2、验证签名
jarsigner -verify [-options] jar-file [alias ...]
其中,-options 是可选参数, jar-file 是要签名的JAR文件,alias 指定了密钥库中用于签名的别名。将 jarsigner 命令支持的所有可选参数汇总如下表:
| 参数 | 说明 |
|---|---|
-keystore <url> | 密钥库位置 |
-storepass <口令> | 用于密钥库完整性的口令 |
-storetype <类型> | 密钥库类型 |
-keypass <口令> | 私有密钥的口令 (如果不同) |
-certchain <文件> | 替代证书链文件的名称 |
-sigfile <文件> | .SF/.DSA 文件的名称 |
-signedjar <文件> | 已签名的 JAR 文件的名称 |
-digestalg <算法> | 摘要算法的名称 |
-sigalg <算法> | 签名算法的名称 |
-verify | 验证已签名的 JAR 文件 |
-verbose[:suboptions] | 签名/验证时输出详细信息。子选项可以是 all, grouped 或 summary |
-certs | 输出详细信息和验证时显示证书 |
-tsa <url> | 时间戳颁发机构的位置 |
-tsacert <别名> | 时间戳颁发机构的公共密钥证书 |
-tsapolicyid <oid> | 时间戳颁发机构的 TSAPolicyID |
-tsadigestalg <算法> | 时间戳请求中的摘要数据的算法 |
-altsigner <类> | 替代的签名机制的类名 |
-altsignerpath <路径列表> | 替代的签名机制的位置 |
-internalsf | 在签名块内包含 .SF 文件 |
-sectionsonly | 不计算整个清单的散列 |
-protected | 密钥库具有受保护验证路径 |
-providerName <名称> | 提供方名称 |
-providerClass <类> | 加密服务提供方的名称 |
-providerArg <参数>... | 主类文件和构造器参数 |
-strict | 将警告视为错误 |
上面表格汇总了jarsigner的所有可选参数,读者可以根据自己的需求参照表格选择所需参数。下是主要介绍一些常用的可选参数:
-
-keystore <url>:指定密钥库 (Keystore) 文件的路径和名称。密钥库是存储与签名相关的密钥和证书信息的地方。例如,-keystore mykeystore.jks将使用名为mykeystore.jks的密钥库文件进行签名; -
-storepass <口令>:指定密钥库的密码。需要提供正确的密码才能对密钥库进行访问和执行签名操作。例如,-storepass mypassword指定密钥库密码为mypassword; -
-keypass <口令>:指定密钥的密码。当密钥库包含多个密钥时,可以为每个密钥设置不同的密码。例如,-keypass mykeypassword指定用于签名的密钥密码为mykeypassword; -
-tsa <url>:指定时间戳服务器的URL。时间戳是对签名进行的附加操作,用于在证书过期后仍然可以验证应用程序。通过提供时间戳服务器的URL,可以在签名中添加时间戳。例如,-tsa http://timestamp.digicert.com指定了使用http://timestamp.digicert.com作为时间戳服务器。
这些是 jarsigner 命令中最常用的可选参数。它们允许指定密钥库的位置、密码以及相关的签名信息和时间戳。使用这些参数,可以根据自己的需求来执行签名操作,并确保应用程序的完整性和安全性。
3.1.1 可选参数:jarsigner -keystore < url>
jarsigner -keystore <url> 命令中使用 <url> 代表密钥库文件的路径和名称。
以下示例演示了命令的使用和作用:
jarsigner -keystore mykeystore.jks MyApp.jar
在这个命令中,-keystore 参数指定了密钥库文件的名称 mykeystore.jks。成功执行命令后,MyApp.jar 文件将使用 mykeystore.jks 密钥库中的默认别名来进行签名。此过程将确保应用程序的完整性和身份验证。
需要注意,在实际使用中,根据情况提供自己的密钥库文件并相应地更换 -keystore 参数值。可以使用 Java 自带的 keytool 工具来生成和管理密钥库,其中包含有关密钥和证书的信息。
通过使用 jarsigner -keystore <url> 命令,即可以指定要用于签名的密钥库文件,在分发和发布 Java 应用程序时提供身份验证和完整性保护。
3.1.2 可选参数:jarsigner -storepass <口令>
jarsigner -storepass <口令> 命令中使用 <口令> 代表密钥库的密码,即jarsigner -storepass <password> 。
通过使用 jarsigner -storepass <password> 命令,你可以在签名过程中提供密钥库的密码,以便 jarsigner 可以正确访问密钥库并完成签名操作。
以下是示例命令的使用和作用:
jarsigner -storepass mypassword MyApp.jar
在这个命令中,-storepass 参数指定了密钥库的密码 mypassword。成功执行命令后,MyApp.jar 文件将使用指定的密钥库进行签名,而不会提示输入密钥库密码。
需要确保提供的密码是与密钥库文件匹配的有效密码。如果密码不正确,那么 jarsigner 将无法访问密钥库并完成签名操作。
3.1.3 可选参数:jarsigner -keypass <口令>
jarsigner -keypass <password> 命令中使用 <password> 代表密钥的密码。通过使用 jarsigner -keypass <password> 命令,可以在签名过程中提供密钥的密码,以便 jarsigner 可以正确使用密钥对 JAR 文件进行签名。
以下是示例命令的使用和作用:
jarsigner -keypass mykeypassword MyApp.jar
在这个命令中使用 -keypass 参数指定了密钥的密码为 mykeypassword。成功执行命令后,MyApp.jar 文件将使用指定的密钥进行签名,而不会提示输入密钥密码。
需要注意确保提供的密码是与密钥匹配的有效密码。如果密码不正确,那么 jarsigner 将无法访问密钥并完成签名操作。
3.1.4 可选参数:jarsigner -tsa < url>
jarsigner -tsa <URL> 命令中使用 <URL> 代表时间戳服务器的URL。
在应用程序开发中,为了确保签名的持久性和验证的可靠性,可以将时间戳添加到签名中。时间戳是一个由权威机构提供的记录签名时间的标记,可以用来验证签名是否在证书过期之前完成。
以下是示例命令的使用和作用:
jarsigner -tsa http://timestamp.digicert.com MyApp.jar
在这个命令中,-tsa 参数指定了时间戳服务器的URL http://timestamp.digicert.com。成功执行命令后,MyApp.jar 文件将使用指定的时间戳服务器为签名添加时间戳。
通过为签名添加时间戳,可以确保签名长时间有效,在证书过期后仍然可以验证应用程序的完整性。时间戳服务器会为签名生成一个时间戳,作为证明签名是在一定时间内完成的证据。
通过使用 jarsigner -tsa <URL> 命令,你可以在签名过程中指定时间戳服务器的URL,并将时间戳添加到签名中,以增强签名的可靠性和验证能力。
3.1.5 可选参数:jarsigner -verify
jarsigner -verify [-options] jar-file [alias ...] 命令用于验证已签名的 JAR 文件的完整性和有效性,并提供了一些可选的配置选项。
以下是示例命令的使用和作用:
jarsigner -verify [-certs] [-verbose] MyApp.jar
在这个命令中,-verify 参数表示对指定的 JAR 文件进行验证。[-certs] 和 [-verbose] 是可选的选项,它们提供了进一步的验证配置和输出。
-certs 选项会显示详细的证书信息,包括签名者的证书链。-verbose 选项会显示更详细的验证信息,包括每个文件的签名状态。
执行上述命令后,jarsigner 工具将会检查 JAR 文件是否已被签名,并验证签名的完整性和有效性。根据提供的选项,它还会显示证书信息和详细的验证输出。
通过使用 jarsigner -verify [-options] jar-file [alias ...] 命令,可以根据需要配置验证过程,并确保签名的完整性和有效性。这是验证应用程序是否受信任以及是否未经篡改的重要步骤。
4️⃣ 应用场景
- 发布Java应用程序:在将Java应用程序分发给用户之前,对JAR文件进行签名以确保应用程序的完整性,并增加用户信任度。
- 下载校验:在下载Java应用程序时,可以使用jarsigner验证文件的数字签名,从而确认文件来自可信源。
5️⃣ 使用技巧
- 生成密钥库:使用Java自带的keytool工具生成密钥库,其中包含需要的密钥对。可以指定密码和其他选项;
- 签名JAR文件:使用jarsigner命令对JAR文件进行签名,提供密钥库、别名、密码等必要参数;
- 验证签名:可以使用jarsigner来验证已签名的JAR文件,以确认其完整性和信任;
- 添加时间戳:通过指定时间戳服务器的URL,可以为签名添加时间戳,确保应用程序在证书过期后仍然有效。
🌾 总结
jarsigner命令是Java开发工具中用于对JAR文件进行签名的重要工具之一。它通过数字签名实现身份验证和保证应用程序的完整性,提供了应用程序发布和分发的安全性。但它也引入了额外的复杂性和一些操作步骤。通过理解和正确使用jarsigner,可以提高Java应用程序的安全性和用户的信任度。
总的来说,jarsigner为Java应用程序提供了一种有效的方式来验证应用程序的来源和完整性,帮助建立用户和开发者之间的信任关系。
