Devemos reimparar frascos depois de renovar com o mesmo CSR?
https://stackoverflow.com/questions/3807154
-
25-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Nossos certificados de assinatura de código Java expira em um mês e acabamos de renovar com o Verisign. Eu estava assumindo que isso seria suficiente para evitar que nossos clientes vejam qualquer mensagem de erro relacionada ao certificado.
Devemos assinar os frascos novamente com o novo certificado e reimpletá -lo aos clientes?
desde já, obrigado
Solução
Sim, você precisa assiná -los novamente. O próprio certificado informará a sua própria data de expiração e o certificado será implantado junto com o seu pacote. É um certificado totalmente novo que você tem (mesmo que os emissores geralmente se referam a ele como uma "renovação").
Os instaladores e outros softwares de verificação geralmente não usam a Internet para verificar a validade do certificado. Em vez disso, eles verificarão a data de expiração no seu arquivo de certificado (que é embalado no arquivo JAR assinado) e verificará a validade do certificado verificando a lista interna de certificados de emissor (CA) da Computes. A única vez em que a Internet é usada nesse processo é baixar uma lista de revogação - um banco de dados de certificados revogados antes da data de validade - mas isso geralmente não será feito em tempo real, mas em uma base programada.
Outras dicas
Conforme discutido com a equipe de suporte Digicert
Não, não se você usou o parâmetro de data e hora no processo de assinatura.
Aviso neste exemplo aqui: https://www.digicert.com/code-signing/java-code-signing-guide.htm#jarsigner
O -TSA http://timestamp.digicert.com parâmetro
Isso faz com que sua assinatura seja válida no futuro próximo. Você não precisa renovar e renunciar a esse arquivo específico se você usou o registro de data e hora
Você só precisaria renovar seu certificado para assinar futuros novos arquivos jar que você cria
Sim. Você tem novos certificados de assinatura e as versões atualmente implantadas são assinadas com o certificado antigo, por isso é como se nada mudasse para seus usuários.
Para que seu novo certificado seja levado em consideração, você deve assinar novamente seus arquivos JAR com o novo certificado e reimplementar os novos arquivos assinados para os clientes.
