Większość urzędów sprzedają certyfikaty podpisywania kodu w różnych "produktów", jak Verisign lub Certum:Różnica między Authenticode, SPC i Java CodeSign?
Microsoft Authenticode - "Pozwala podpisać EXE, DLL, OCX, bla ..."
Java CodeSign - "Pozwala na znak kodu Java"
Software Wydawca Certificate - "Pozwala podpisać oprogramowania"
Cóż, jestem NAPRAWDĘ zdezorientowany. Jaka jest różnica między wszystkimi tymi produktami - oprócz PRICE? Kilka razy zapytałem Verisign i inne CA. odkąd jestem ciekawy, ale nie dostałem odpowiedzi.
Otrzymałem certyfikat Authenticode od Certum CA. Zapisałem go w Internet Explorerze, wyeksportowałem jako PKCS # 12 PFX i mogłem podpisać EXE, DLL, ... zgodnie z obietnicą.
Teraz ... Próbowałem zaimportować ten PFX do Javy za pomocą keytool, a następnie próbowałem podpisać plik JAR. I zadziałało!
A następnie pojawia się tajemniczy "certyfikat wydawcy oprogramowania" jako produkt. Nie wiem, co mogę/powinienem podpisać z tym ... Mac? Linux? Czy nie jest też "Microsoft Authenticode" certyfikat wydawcy oprogramowania? Czy nie jest "oprogramowaniem" EXE? To mnie naprawdę wprawia w zakłopotanie.
Moje pytanie brzmi teraz: Kiedy mam zamówiony certyfikat Microsoft Authenticode, czy jest to nielegalne używanie go do podpisywania, np. Pliki JAR lub w miarę możliwości inne treści? Wydaje się, że nie ma żadnej technicznej różnicy między tymi certyfikatami. Wszystkie te produkty powinny mieć te same oznaczenia EKU-OID "1.3.6.1.5.5.7.3.3", które nie powodują żadnych różnic między EXE, JAR, Adobe Air i tym, co do cholery również istnieje. Jeśli więc wszystkie certyfikaty "CodeSigning" są technicznie równe, to dlaczego muszę zdecydować, czy chcę być "programistą Java", "programistą systemu Windows", czy "programistą"?
Być może nadal istnieją różnice w certyfikacie? Może nie mam wystarczających uprawnień w JAR, kiedy używam autentycznych certyfikatów do podpisywania?
(PS: Nie korzystam z oprogramowania komercyjnie)
Wiesz, uważnie zajmując się certyfikatami (rozwijamy i sprzedajemy bibliotekę PKI), mam te same pytania i brak odpowiedzi. Wydaje się, że to BS, ponieważ, jak słusznie zauważyłeś, użycie klucza jest takie samo iz technicznego punktu widzenia certyfikaty są takie same. Może próbują oszukać niektórych użytkowników w kupowaniu kilku różnych certyfikatów lub wystawiają je bezpośrednio w odpowiednim formacie (PKCS # 7/PKCS # 8, JKS, PKCS # 12). –
Dziękuję za komentarz. Więc jak myślisz? Czy CA może odwołać mój certyfikat, jeśli dowie się, że ja również podpisuję oprogramowanie JAR?Nie jestem pewien, czy jest to zgodne z ich prawnymi warunkami, ponieważ istnieją te "produkty". –
Przepraszamy za brak odpowiedzi wcześniej - Twoje pytanie nie zostało zauważone. Znowu badam to pytanie i dla GlobalSign CA nie ma w dokumentach żadnych wskazań, które wyraźnie zabraniają używania certyfikatów Authenticode dla Adobe AIR. Może się jednak zdarzyć, że traktują to jako naruszenie Umowy Abonenckiej (chociaż nie ma tam takiego ograniczenia). Więc mam teraz ten problem sam (próbuję zdecydować, czy muszę kupić kolejne certyfikaty dla różnych typów podpisów) i nie mam rozwiązania. –