java签名证书

⑴ java2下Applet数字签名实现方法

Java2下Applet数字签名具体实现方法我的项目是使用APPLET制作一个实时消息队列监控程序，由于涉及到了本地资源，对APPLET一定要进行数字签名和认证。我使用的环境是WINDOWS2000，应用服务器是WEBLOGIC6.0，开发环境是JBUILDER4.0。之前我提醒大家一定要注意服务器端和客户端的概念。那些文件应该在服务器端，那些文件应该在客户端。

首先在客户端使用JRE1.3.0_01（JAVA运行环境1.3.0.1版本）以取代IE的JVM(JAVA虚拟机)，可以到www.JAVA.SUN.COM网站上去下载，下载好了先在客户端安装好，安装过程非常简单。

在服务器端的调用APPLET的HTML文件中也需要将它包含进来，以便没有事先安装JRE的客户端下载，具体的写法，请接着往下看；

具体步骤如下:

服务器端：

1．将程序需要用到的各种包文件全部解压(我这儿要用到WEBLOGIC的JMS包使用命令jar xf weblogicc.jar)，然后使用JDK的打包命令将编译好的监控程序.class和刚才解压的包一起打包到一个包中。(前提我已经将监控程序和解开的包都放在同一个目录下了)，都是dos状态下的命令，具体命令见jdk1.3(1.2)的bin目录下，

命令如下：

jar cvf monitor.jar *.class

此命令生成一个名为monitor.jar的包

2．为刚才创建的包文件（monitor.jar）创建keystore和keys。其中，keystore将用来存放密匙(private keys)和公共钥匙的认证，alias别名这儿取为monitor。

命令如下：

keytool -genkey -keystore monitor.keystore –alias monitor

此命令生成了一个名为monitor.keystore的keystore文件，接着这条命令，系统会问你好多问题，比如你的公司名称，你的地址，你要设定的密码等等，都由自己的随便写。

3．使用刚才生成的钥匙来对jar文件进行签名

命令如下：

jarsigner -keystore monitor.keystore monitor.jar monitor

这个命令将对monitor.jar文件进行签名，不会生成新文件。

4．将公共钥匙导入到一个cer文件中，这个cer文件就是要拷贝到客户端的唯一文件 。

命令如下：

keytool -export -keystore monitor.keystore -alias monitor -file monitor.cer

此条命令将生成monitor.cer认证文件，当然这几步都有可能问你刚才设置的密码。这样就完成了服务器端的设置。这时你就可以将jar文件和keystore文件以及cer文件(我这儿是monitor.jar,monitor.keystore,monitor.cer)拷贝到服务器的目录下了，我用的是weblogic6.0，所以就拷贝到C:\bea\wlserver6.0\config\mydomain\applications\DefaultWebApp_myserver下的自己建的一个目录下了。

客户端：

1． 首先应该安装jre1.3.0_01，然后将服务器端生成的monitor.cer 文件拷贝到jre的特定目录下，我这儿是：
c:\program files\javasoft\jre\1.3.0_01\lib\security目录下。

2． 将公共钥匙倒入到jre的cacerts（这是jre的默认keystore）

命令如下：

keytool -import -alias monitor -file monitor.cer
-keystore cacerts

注意这儿要你输入的是cacerts的密码，应该是changeit，而不是你自己设定的keystore的密码。

3． 修改policy策略文件，在dos状态下使用命令 policytool

系统会自动弹出一个policytool的对话框，如图4所示，在这里面首先选择file菜单的open项，打开c:\program files\javasoft\jre\1.3.0_01\lib\security目录下的java.poliy文件，然后在edit菜单中选择Change keystore ，在对话框中new keystore url:中输入
file:/c:/program files /javasoft/jre/1.3.0_01/lib/security/cacerts, 这儿要注意反斜杠，在new keystore type 中输入JKS，这是cacerts的固定格式，然后单击Add Policy Entry，在出现的对话框中CodeBase中输入：

http://URL:7001/*

其中的URL是服务器的IP地址，7001是我的weblogic的端口，如果你是在别的应用服务器上比如说是apache，那端口号就可以省略掉。

在SignedBy中输入(别名alias):这儿是Monitor然后单击add peimission按钮，在出现的对话框中permission中选择你想给这个applet的权限，这儿具体有许多权限，读者可以自己找资料看看。我这儿就选用allpeimission，右边的signedBy中输入别名：monitor
最后保存，在file菜单的save项。

当然你可以看见我已经对多个包实现了签名认证。

这样客户端的设置就完成了。在客户端用ie运行该applet程序时，会询问你是不是对该签名授权，选择授权后，包会自动从服务器下载到本地计算机，而且ie会自动启动jre，在右下栏中可以看见，相当于ie的java控制台。

4．调用applet的html文件

大家都知道由于java2的安全性，对applet的正常调用的html文件已经不能再使用了，而改为ActiveX类型的调用。具体的又分ie和nescape的不同写法，这一些在sun网上都能找到现成的教程。我就不多说了，只是将我的这个小程序为ie写的的html给大家看看。

＜html＞
＜META HTTP-EQUIV="Content-Type" CONTENT="text/html;CHARSET=gb2312"＞
＜center＞
＜h3＞消息中心实时监控平台＜/h3＞
＜hr＞
＜OBJECT classid="clsid:8AD9C840-044E-11D1-B3E9-00805F499D93"
width="900" height="520" align="baseline" codebase="http://192.168.2.217:7001/j2re-1_3_0_01-win-i.exe#Version=1,3,0,0"＞
＜PARAM NAME="java_code" VALUE="wise.monitor.applet.monitorApplet"＞
＜PARAM NAME="java_codebase" VALUE="monitor/classes"＞
＜PARAM NAME="java_type" VALUE="application/x-java-applet;version=1.3"＞
＜PARAM NAME="ARCHIVE" VALUE="monitor.jar" ＞
＜PARAM NAME="scriptable" VALUE="true"＞
＜/OBJECT＞
＜/center＞
＜/html＞

其中我要强调一点，因为applet每一次的改动都需要重新打包签名，手续非常繁琐，所以在具体的实现中要将一些会变化参数放到html文件中来，传到applet中去，这一点网上文章好多，自己去看吧。

另外一个就是有朋友问我，那这样不是太麻烦了，每一个客户端都要进行复杂的dos命令操作，我只能说一目前我的水平只能将一个已经做好的客户端文件cer文件和java.policy以及cacerts文件直接拷贝到客户端，当然这也有缺陷，如果别人的计算机已经有了认证，就会丢失。就这些问题我们可以一起探讨。

另外还有一点优化，就是在打包的时候，我这儿只讲了把所有要用的涉及到安全性的包和源程序到要打到一个包中。这样如果包非常大的话，会非常影响下载的速度，如果可以使用本地计算机的包就好了，这一点jre也做到了，具体的要到控制面板的jre控制台上去设置。这个就留着读者自己去摸索吧。

结束语

我发现网上java相关的资料非常少，中文的更少，所以希望自己能将一些小知识和大家共享，省掉许多重复的无用功。如果大家对这个问题还有不清楚的地方，或者就这问题相进一步展开讨论的，请和我联系,我的信箱是[email protected]。希望我们能共同进步！

http://java.chinaitlab.com/advance/520330.html

⑵ java 数字签名自验证该如何实现

没有看到所谓的签名自验证的说法。 我想你指的应该是数字签名自带证书，然后用证书来验证签名吧。

其实这是一种签名的格式。被称为P7。 就是在信息中包含长度，算法，明文，签名串和证书公钥。 收到以后，可以自动用证书来验证。 这些算法很多。你可以去找，很容易查到。
这种签名的关键是证书也需要被验证。这种做法一般是双方拥有发证CA的公钥，来验证证书的合法性。这也有很多的。

⑶ java 怎么验证文件为数字签名认证文件

1）从密钥库中读取CA的证书
FileInputStream in=new FileInputStream(".keystore");
KeyStore ks=KeyStore.getInstance("JKS");
ks.load(in,storepass.toCharArray());
java.security.cert.Certificate c1=ks.getCertificate("caroot");
（2）从密钥库中读取CA的私钥
PrivateKey caprk=(PrivateKey)ks.getKey(alias,cakeypass.toCharArray());
（3）从CA的证书中提取签发者的信息
byte[] encod1=c1.getEncoded(); 提取CA证书的编码
X509CertImpl cimp1=new X509CertImpl(encod1); 用该编码创建X509CertImpl类型对象
X509CertInfo cinfo1=(X509CertInfo)cimp1.get(X509CertImpl.NAME+"."+X509CertImpl.INFO); 获取X509CertInfo对象
X500Name issuer=(X500Name)cinfo1.get(X509CertInfo.SUBJECT+"."+CertificateIssuerName.DN_NAME); 获取X509Name类型的签发者信息
（4）获取待签发的证书
CertificateFactory cf=CertificateFactory.getInstance("X.509");
FileInputStream in2=new FileInputStream("user.csr");
java.security.cert.Certificate c2=cf.generateCertificate(in);
（5）从待签发的证书中提取证书信息
byte [] encod2=c2.getEncoded();
X509CertImpl cimp2=new X509CertImpl(encod2); 用该编码创建X509CertImpl类型对象
X509CertInfo cinfo2=(X509CertInfo)cimp2.get(X509CertImpl.NAME+"."+X509CertImpl.INFO); 获取X509CertInfo对象
（6）设置新证书有效期
Date begindate=new Date(); 获取当前时间
Date enddate=new Date(begindate.getTime()+3000*24*60*60*1000L); 有效期为3000天
CertificateValidity cv=new CertificateValidity(begindate,enddate); 创建对象
cinfo2.set(X509CertInfo.VALIDITY,cv); 设置有效期
（7）设置新证书序列号
int sn=(int)(begindate.getTime()/1000); 以当前时间为序列号
CertificateSerialNumber csn=new CertificateSerialNumber(sn);
cinfo2.set(X509CertInfo.SERIAL_NUMBER,csn);
（8）设置新证书签发者
cinfo2.set(X509CertInfo.ISSUER+"."+CertificateIssuerName.DN_NAME,issuer);应用第三步的结果
（9）设置新证书签名算法信息
AlgorithmId algorithm=new AlgorithmId(AlgorithmId.md5WithRSAEncryption_oid);
cinfo2.set(CertificateAlgorithmId.NAME+"."+CertificateAlgorithmId.ALGORITHM,algorithm);
（10）创建证书并使用CA的私钥对其签名
X509CertImpl newcert=new X509CertImpl(cinfo2);
newcert.sign(caprk,"MD5WithRSA"); 使用CA私钥对其签名
（11）将新证书写入密钥库
ks.setCertificateEntry("lf_signed",newcert);
FileOutputStream out=new FileOutputStream("newstore");
ks.store(out,"newpass".toCharArray()); 这里是写入了新的密钥库，也可以使用第七条来增加条目

⑷ 数字签名的Java签名步骤

1、将applet的class文件打包成*.jar（不会的可以在命令行中输入jar查看帮助）
2 首先我们要生成一个keystore 否则在签名的时候报如下错误
jarsigner 错误： java.lang.RuntimeException: 密钥库装入： C:Documents and Settingsij2ee.keystore (系统找不到指定的文件。). (这边的ij2ee 是我当前系统用户名)
生成keystore的语句:keytool -genkey -alias 别名你可以自己写 -keyalg RSA -keystore .keystore
比如我的就是 keytool -genkey -alias ij2ee -keyalg RSA -keystore .keystore
下面是会出现的数字签名的一些步骤操作:
输入keystore密码：
再次输入新密码:
您的名字与姓氏是什么？
[Unknown]： ij2ee
您的组织单位名称是什么？
[Unknown]： mtk
您的组织名称是什么？
[Unknown]： mtk
您所在的城市或区域名称是什么？
[Unknown]： suzhou
您所在的州或省份名称是什么？
[Unknown]： jiangsu
该单位的两字母国家代码是什么
[Unknown]： cn
CN=ij2ee, OU=mtk, O=mtk, L=suzhou, ST=jiangsu, C=cn 正确吗？
[否]： y
输入<sfcs>的主密码
（如果和 keystore密码相同，按回车）：
这时候会在jdk的bin目录下生成 .keystore 。把这个.keystore文件移动到 C:Documents and Settings当前系统用户的目录下面。
3、创建一个数字证书
在命令行中输入如下指令，peakCA和peakCALib自己起名字好了，3650是有效天数，就是10年左右，在创建证书的的时候，需要填写证书的一些信息和证书对应的私钥密码。这些信息包括 CN=xx,OU=xx,O=xx,L=xx,ST=xx,C=xx，都是中文，一看就懂的
keytool -genkey -alias peakCA -keyalg RSA -keysize 1024 -keystore peakCALib -validity 3650
4、将证书导出到证书文件中
在命令行中输入如下指令，peakCA和peakCALib自己起名字好了，******是你输入的密码
keytool -export -alias peakCA -file peakCA.cer -keystore peakCALib -storepass ****** -rfc
5、授权jar文件，在命令行中输入如下指令
jarsigner -keystore peakCALib myapplet.jar peakCA