Instrukcja aktywacji i instalacji Certum Code Signing

Transkrypt

1 Instrukcja aktywacji i instalacji Code Signing

2 S t r o n a 2 Spis treści 1 Opis produktu Instalacja oprogramowania Elementy niezbędne do wgrania certyfikatu Code Signing na kartę kryptograficzną Instalacja certyfikatu... 7 Wymagania... 7 Aktywacja certyfikatu Wgrywanie certyfikatu na kartę Signtool Opis narzędzia Podpisywanie Weryfikacja Podpisywanie wsadowe Podpis dualny Jarsigner Opis narzędzia Konfiguracja Utworzenie pliku konfiguracyjnego provider.cfg Utworzenie pliku ścieżki certyfikatu bundle.pem Zmiana aliasu użytkownika (labela) na karcie (tylko dla użytkowników posiadających znaki diakrytyczne w polu Common Name (CN) w certyfikacie) Podpisywanie Weryfikacja Podpisywanie wsadowe Najczęstsze problemy: infolinia@

3 S t r o n a 3 1 Opis produktu Certyfikat Code Signing, służy do podpisywania kodu oraz gotowych już zbudowanych aplikacji. Certyfikat nagrywany jest na kartę kryptograficzną, co pozwala nam podpisywać kod oraz gotowe aplikacje używając znanych narzędzi takich jak signtool.exe oraz jarsigner. Instrukcja opisuje ścieżkę aktywacji oraz instalacji certyfikatu oraz jak zainstalować potrzebne oprogramowanie i w jaki sposób - za pomocą znanych aplikacji podpisać lub zweryfikować podpisany już kod lub aplikację. 2 Instalacja oprogramowania Do poprawnego działania Code Signing potrzebna jest aplikacja pro CardManager w wersji lub wyższej. Aby poprawnie zainstalować aplikację trzeba wykonać następujące kroki: 1. Pobrać najnowszą wersję oprogramowania z oficjalnej strony. 2. Uruchomić pobrany instalator. 3. Po uruchomieniu instalatora kliknąć przycisk 4. Po pojawieniu kolejnego ekranu zaznaczyć Akceptuję warunki umowy licencyjnej i kliknąć. 5. Po pojawieniu się kolejnego ekranu należy wybrać ścieżkę w której ma być zainstalowana aplikacja. Domyślnie jest to ścieżka: i kliknąć. 6. Po pojawieniu się kolejnego ekranu należy kliknąć przycisk. Po zakończeniu pracy instalatora należy ponownie uruchomić komputer. W tym celu należy zaznaczyć: Tak, chcę teraz uruchomić ponownie komputer 7. i kliknąć przycisk. infolinia@

4 S t r o n a 4 3 Elementy niezbędne do wgrania certyfikatu Code Signing na kartę kryptograficzną Aby wgrać certyfikat Code Signing na kartę kryptograficzną prosimy postępować zgodnie z poniższą instrukcją: 1. Zainstalować Zestaw Code Signing (patrz instrukcja dołączona do zakupionego zestawu). 2. Uruchomić oprogramowanie pro CardManager (aktualna wersja oprogramowania dostępna jest na stronie www. > Wsparcie techniczne > Oprogramowanie i biblioteki > pro CardManager). 3. Kliknąć przycisk.. 4. Po pojawieniu się okna z opcjami zaznaczyć opcję: 5. Zrestartować system. Po restarcie systemu włożyć czytnik z kartą kryptograficzną. 6. Uruchomić aplikację pro CardManager. 7. Jeżeli karta została odczytana pomyślnie powinno pojawić się okno jak na grafice poniżej: 3. Przejść do zakładki Profil zwykły. 4. Sprawdzić czy Profil zwykły jest aktywny - oprogramowanie wyświetli informacje na temat wybranego profilu oraz listę certyfikatów. Jeżeli nie jest aktywny przejdź do punktu nr 5. infolinia@

5 S t r o n a 5 Uwaga! Ponowna aktywacja profilu nie jest możliwa. Nie można również przywrócić stanu sprzed aktywacji. Na liście powinien pojawić się certyfikat: Pole Właściciel certyfikatu będzie później potrzebne przy podpisywaniu kodu lub aplikacji. Uwaga: Pojawienia się poniższego komunikatu oznacza, że na karcie kryptograficznej znajduje się klucz prywatny, a instalacja certyfikatu nie została zakończona gdyż nie został zainstalowany poprawnie certyfikat. Zaleca się kliknięcie guzika NIE oraz dokończenie procesu instalacji wydanego certyfikatu na kartę. infolinia@

6 S t r o n a 6 5. Jeżeli Profil zwykły nie jest aktywny, nacisnąć przycisk Inicjalizuj profil. Wówczas zostanie zdefiniowany nowy kod PUK i nowy kod PIN. Każdorazowo należy potwierdzić wprowadzony kod. Nacisnąć przycisk OK aby zatwierdzić zmiany. Aktywowanie profilu powoduje, że karta crypto jest przygotowana do instalacji certyfikatu Code Signing. infolinia@

7 S t r o n a 7 4 Instalacja certyfikatu Wymagania Do instalacji certyfikatu będzie potrzebna aplikacja pro CardManager (Opis instalacji i konfiguracji znajduje się poniżej), przeglądarka Internet Explorer w wersji 8,9,10 lub 11 oraz czytnik z kartą kryptograficzną na której zainicjowany jest profil zwykły, podpięty do komputera. Aktywacja certyfikatu 1. Po otrzymaniu zdrapki wejść na adres internetowy sklepu : 2. Kliknąć przycisk Zaloguj/Zarejestruj się 1. Zalogować się na konto (jeżeli nie posiadamy konta w sklepie to wymagane jest jego założenie) 4. Kliknąć w przycisk "Twoje konto" infolinia@

8 S t r o n a 8 5. W przypadku otrzymania kodu aktywacyjnego, przejść do sekcji "Kody elektroniczne" i aktywujemy kod. W przypadku gdy nie posiadasz kodu elektronicznego produktu przejdź do punktu nr Jeżeli nie posiadasz kodu lub pomyślnie aktywowałeś wcześniej kod, przechodzimy do zakładki "Aktywacja Certyfikatów" infolinia@

9 S t r o n a 9 7. Na liście poniżej należy odszukać odpowiedni certyfikat który chcemy aktywować i kliknąć przycisk "Aktywuj" 8. Zaznaczyć opcję "Generowanie pary kluczy" i klikamy "Dalej" 9.1. W przypadku korzystania z przeglądarki Internet Explorer: Potwierdzić dostęp do sieci Web klikając przycisk "Tak". W przypadku korzystania z przeglądarki Chrome lub innej przejdź do punktu W przypadku korzystania z przeglądarki Chrome. Pobrać i uruchomić aplikację Cryptoagent i zostawić ją uruchomioną przez cały okres instalacji kluczy na karcie. infolinia@

10 S t r o n a Zaznaczyć opcję "Zapisz klucze na karcie " kliknąć przycisk "Generuj klucze". Przy wyświetleniu monitu o numer PIN, podać pin do karty i kliknąć "OK". infolinia@

11 S t r o n a Po przejściu do kolejnego ekranu z informacją o pomyślnym wygenerowaniu kluczy na karcie kliknąć przycisk "Dalej" 12. Uzupełnić formularz wniosku certyfikacyjnego danymi, które zamieszczone zostaną w certyfikacie. Następnie, kliknąć "Dalej". infolinia@

12 S t r o n a Jeszcze raz upewnić się czy dane są poprawne. Zaznaczyć, akceptację dla Warunki Użytkowania oraz potwierdzić prawdziwość podanych w formularzu informacji i kliknąć "Aktywuj". Uwaga: W przypadku zaznaczenia opcji weryfikacji telefonicznej, CERTUM skontaktuje się pod podany numer telefonu w ciągu 48 godzin roboczych. Numer telefonu podany we wniosku w celu dokonania weryfikacji telefonicznej musi być numerem firmowym i być dostępny w publicznie dostępnych rejestrach np. CEiDG, GUS, pkt.pl, panoramafirm.pl, DUNS lub innych publicznych bazach danych zakwalifikowanych do rzetelnych i wiarygodnych źródeł informacji. infolinia@

13 S t r o n a Status naszego zgłoszenia powinien zmienić się na "Oczekuje na realizację". Na adres podany w formularzu wniosku certyfikacyjnego przyjdzie wiadomość z dalszymi instrukcjami. Lista wymaganych dokumentów niezbędnych do weryfikacji tożsamości znajduje się na stronie : Po otrzymaniu przez wymaganych dokumentów i zaakceptowaniu żądania certyfikacyjnego wysłana zostanie na adres wiadomość o wydaniu certyfikatu Code Signing. infolinia@

14 S t r o n a 14 5 Wgrywanie certyfikatu na kartę Po przejściu całego procesu aktywacji, należy wgrać certyfikat na karcie na której były uprzednio generowane klucze (punkty 10-12). W tym celu należy: 1. W sklepie, przejść do zakładki "Zarządzanie certyfikatami": 2. Odszukać odpowiedni certyfikat, do którego generowana była para kluczy i kliknąć w niego: 3. Kliknąć przycisk "Zapisz binarnie": infolinia@

15 S t r o n a Pobrać plik certyfikatu na dysk komputera: 5. Otworzyć pro CardManager: 6. Wybrać odpowiedni czytnik (jeżeli podłączony więcej niż jeden) i kliknąć przycisk "Czytaj kartę" 7. Przejść do zakładki "Profil Zwykły": 8. W przypadku pojawiania się powiadomienie o niecertyfikowanych kluczach na karcie należy wcisnąć przycisk "Nie": infolinia@

16 S t r o n a Kliknąć przycisk "Importuj certyfikat": infolinia@

17 S t r o n a Wybrać pobrany uprzednio plik certyfikatu, podać pin do karty i kliknąć "OK": 11. Jeżeli proces dodawania certyfikatu zakończył się pomyślnie, na liście powinien ukazać się certyfikat Code Signing: infolinia@

18 S t r o n a Należy zarejestrować wybrany certyfikat w systemie operacyjnym. W tym celu wybieramy przycisk Rejestruj certyfikaty : infolinia@

19 S t r o n a 19 6 Signtool Opis narzędzia Signtool to narzędzie wiersza polecenia, które cyfrowo podpisuje pliki, weryfikuje podpisy w plikach i oznacza pliki znacznikami czasu. Narzędzie to znaleźć można w paczce deweloperskiej Windows (Windows SDK[Software Development Kit]). Wszystkie operacje wykonywane z Code Signing wymagają podłączonego czytnika wraz z kartą na której jest certyfikat Code Signing. Szerszy opis narzędzia można znaleźć pod adresem: Podpisywanie Aby podpisać plik, w wierszu poleceń (cmd.exe) należy użyć następującego polecenia: signtool sign /n "[1] " / t [2] /fd [3] /v [4] [1] Nazwa lub fragment nazwy właściciela certyfikatu, którą sprawdzić można w aplikacji pro CardManager lub narzędziu systemowym certmgr.msc: [2] Adres znacznika czasu. Dla [3] Nazwa algorytmu podpisu. Dostępne sha1 i sha256, [4] Ścieżka do podpisywanego pliku. infolinia@

20 S t r o n a 20 Przykładowe, poprawne polecenia: signtool sign /n "Asseco Data Systems S.A." /t /fd sha1 /v aplikacja.exe W rezultacie konsola cmd.exe powinna zwrócić komunikat o poprawności podpisu pliku: The following certificate was selected: Issued to: Asseco Data Systems S.A. Issued by: Code Signing CA SHA2 Expires: Fri Jul 06 10:16: SHA1 hash: E0828DF9D71C4CD87A F0D9CB802BF31 Done Adding Additional Store Successfully signed: aplikacja.exe Number of files successfully Signed: 1 Number of warnings: 0 Number of errors: 0 signtool sign /n "Asseco Data Systems S.A." /t /fd sha256 /v aplikacja.exe W rezultacie konsola cmd.exe powinna zwrócić komunikat o poprawności podpisu pliku: The following certificate was selected: Issued to: Asseco Data Systems S.A. Issued by: Code Signing CA SHA2 Expires: Fri Jul 06 10:16: SHA1 hash: E0828DF9D71C4CD87A F0D9CB802BF31 Done Adding Additional Store Successfully signed and timestamped: aplikacja.exe Number of files successfully Signed: 1 Number of warnings: 0 Number of errors: 0 infolinia@

21 S t r o n a Weryfikacja Aby zweryfikować plik, w wierszu poleceń (cmd.exe) należy użyć następującego polecenia: signtool verify /pa [1] [1] Nazwa podpisanego pliku Przykładowe, poprawne polecenie: signtool verify /pa aplikacja.exe W rezultacie konsola cmd.exe zwraca komunikat o poprawności podpisu pliku, przykładowo: File: aplikacja.exe Index Algorithm Timestamp ======================================== 0 sha1 Authenticode Successfully verified: aplikacja.exe File: aplikacja.exe Index Algorithm Timestamp ======================================== 0 sha256 Authenticode Successfully verified: aplikacja.exe lub o braku podpisu: File: aplikacja.exe Index Algorithm Timestamp ======================================== SignTool Error: No signature found. Number of errors: 1 infolinia@

22 S t r o n a Podpisywanie wsadowe W celu wsadowego podpisania wielu plików podczas jednej sesji należy je podać jako kolejne parametry polecenia. Działanie takie eliminuje konieczność każdorazowego wywoływania komendy w konsoli oraz wpisywania kodu PIN przy podpisie kolejnych plików. Przykładowe polecenie: signtool sign /n "Asseco Data Systems S.A." /t /fd sha1 /v aplikacja1.exe aplikacja2.exe aplikacja3.exe W rezultacie konsola cmd.exe zwraca komunikat o poprawności podpisu plików: Done Adding Additional Store Successfully signed and timestamped: aplikacja1.exe Successfully signed and timestamped: aplikacja2.exe Successfully signed and timestamped: aplikacja3.exe Number of files successfully Signed: 3 Number of warnings: 0 Number of errors: 0 Podpis dualny W celu złożenia podpisu dualnego (wykorzystującego oba algorytmy: SHA-1 oraz SHA-2 należy przeprowadzić następującą procedurę: 1. Wykonać podpis aplikacji z wykorzystaniem algorytmu SHA-1 przykładowym poleceniem: signtool sign /n "Asseco Data Systems S.A." /t /fd sha1 /v aplikacja.exe 2. Następnie wykonać podpis tej samej aplikacji wykorzystując algorytm SHA-2 oraz przełącznik /as: signtool sign /n "Asseco Data Systems S.A." /t /fd sha256 /as /v aplikacja.exe infolinia@

23 S t r o n a 23 Wynikiem weryfikacji pliku podpisanego dualnie powinien być następujący komunikat z konsoli: File: aplikacja.exe Index Algorithm Timestamp ======================================== 0 sha1 Authenticode 1 sha256 RFC3161 Successfully verified: aplikacja.exe Do wykonania i weryfikacji podpisu dualnego wymagany jest Windows 8 lub wyższy. W celu wykonania lub weryfikacji podpisu dualnego na systemach Windows 7 należy zapoznać się z artykułem opublikowanym przez Microsoft: infolinia@

24 S t r o n a 24 7 Jarsigner 7.1 Opis narzędzia Jarsigner to narzędzie wiersza poleceń, które cyfrowo podpisuje pliki oraz weryfikuje podpisy. Narzędzie to znaleźć można w paczce deweloperskiej Oracle(JDK [Java Development Kit]). Wszystkie operacje wykonywane z Code Signing wymagają podłączonego czytnika wraz z kartą na której jest certyfikat. Szerszy opis narzędzia można znaleźć pod adresem: Konfiguracja Utworzenie pliku konfiguracyjnego provider.cfg Przed rozpoczęciem używania jarsigner potrzebna jest dodatkowa konfiguracja. W pierwszym kroku należy utworzyć plik konfiguracyjny providera dla PKCS#11. W tym celu tworzymy nowy plik o rozszerzeniu *.cfg (przykład: provider.cfg). Jego zawartość wygląda następująco: name=[1] library=[2] slot=[3] [1] Nazwa providera. Najlepiej Crypto3PKCS. [2] Ścieżka do biblioteki PKCS. Jeżeli posiadamy zainstalowanego pro CardManagera ścieżka domyślna to: C:\Windows\System32\crypto3PKCS.dll [3] Numer slota w którym znajduje się karta. Domyślna wartość to -1 która powoduje automatyczne wykrycie pierwszego dostępnego slotu. Przykładowa konfiguracja dla profilu zwykłego karty crypto: name=crypto3pkcs library=c:\windows\system32\crypto3pkcs.dll slot=-1 Przykładowa konfiguracja dla karty wirtualnej : name=simplysignpkcs.dll library=c:\windows\system32\simplysignpkcs.dll slot=-1 infolinia@

25 S t r o n a Utworzenie pliku ścieżki certyfikatu bundle.pem Kolejnym krokiem jest utworzenie pliku ścieżki certyfikatu o rozszerzeniu*.pem (przykład: bundle.pem). Jego zawartość wygląda następująco: 1. Na górze : Certyfikat użytkownika 2. Poniżej : certyfikat pośredni dla certyfikatu użytkownika UWAGA. Zawartość pliku bundle.pem musi być koniecznie we wspomnianej wyżej kolejności. Uzyskiwanie certyfikatu użytkownika Certyfikat użytkownika może zostać uzyskany poprzez uruchomienie programu pro CardManager, kliknięcie przycisku czytaj kartę i przejście do zakładki Profil zwykły. Następnie należy wybrać z listy certyfikat, który chcemy zapisać i użyć przycisku Pokaż szczegóły certyfikatu. Wyświetlony zostanie certyfikat, używając przycisku Kopiuj do pliku znajdującego się na karcie Szczegóły istnieje możliwość zapisania certyfikatu: Warto w tym kroku zapisać sobie zawartość pola Wystawca. Pomoże to w późniejszym doborze certyfikatu pośredniego. infolinia@

26 S t r o n a 26 Po kliknięciu Kopiuj do pliku zostanie uruchomiony kreator zapisu: Należy kliknąć Dalej. W kolejnym kroku należy wybrać opcję X.509 szyfrowany algorytmem Base-64 (.CER) i kliknąć Dalej : infolinia@

27 S t r o n a 27 Następnie należy wybrać gdzie ma zostać zapisany plik oraz nadać mu nazwę. W tym celu należy kliknąć Przeglądaj, wybrać lokalizację i wpisać nazwę pliku, następnie kliknąć Zapisz, a w oknie kreatora przejść do kolejnego kroku przyciskiem Dalej oraz następnie Zakończ. Kreator potwierdzi eksport pliku. Uzyskiwanie certyfikatu pośredniego Certyfikaty pośrednie należy pobierać ze strony : W doborze odpowiedniego certyfikatu (certyfikatów) pośrednich pomoże zapisana wcześniej nazwa Wystawcy z pola Wystawca certyfikatu użytkownika. Należy odszukać na stronie wystawcę swojego certyfikatu i zapisać jego certyfikat w formacie tekstowym PEM. Następnie mając dwa pliki z certyfikatami, należy utworzyć nowy plik tekstowy. Zawartość obu uzyskanych wcześniej plików (Certyfikat użytkownika oraz certyfikat pośredni) należy wkleić do jednego pliku tekstowego we wspomnianej wyżej kolejności: 1. Na górze : Certyfikat użytkownika 2. Poniżej : certyfikat pośredni dla certyfikatu użytkownika Plik należy zapisać i zmienić jego rozszerzenie na *.pem. infolinia@

28 S t r o n a 28 Poniżej przedstawiono przykładowy plik bundle.pem: Certyfikat użytkownika Certyfikat pośredni infolinia@

29 S t r o n a Zmiana aliasu użytkownika (labela) na karcie (tylko dla użytkowników posiadających znaki diakrytyczne w polu Common Name (CN) w certyfikacie) Do wskazywania certyfikatu, który ma zostać użyty do podpisu aplikacji z wykorzystaniem narzędzia Jarsigner używany jest alias certyfikatu użytkownika. Standardowo alias certyfikatu tworzony jest na podstawie zawartości pola Common Name z pola Podmiot z certyfikatu. Jeśli w polu Common Name umieszczony został ciąg znaków zawierający znaki diakrytyczne, następuje konieczność zastąpienia tego ciągu ciągiem znaków nie zawierającym znaków diakrytycznych. Przykład: Alias (label) przed zmianą: Urząd Alias (label) po zmianie: Urzad Uwaga! Zmiana aliasu nie powoduje zmian w certyfikacie. Edycji podlega jedynie identyfikator certyfikatu na karcie. Podpisana aplikacja w polu podpisu nadal zawierać będzie dane Subskrybenta zawierające znaki diakrytyczne. Zmiany aliasu (labela) można dokonać za pomocą oprogramowania udostępnianego nieodpłatnie PKCS11Admin (do pobrania tutaj: Prezentowany sposób zmiany labela został wykonany w oprogramowaniu PKCS11Admin w wersji Procedura zmiany labela wygląda następująco: 1. Należy pobrać i wypakować program PKCS11Admin do wybranego katalogu. 2. Następnie należy wejść do katalogu zawierającego wypakowane oprogramowanie PKCS11Admin i uruchomić aplikację Pkcs11Admin-x86 lub Pkcs11Admin-x64, zależnie od wersji systemu operacyjnego. Uruchomienie skutkuje otwarciem programu oraz okna wyboru biblioteki obsługującej kartę. Dla kart wskazać należy bibliotekę crypto3pkcs.dll, znajdującą się w katalogu C:\Windows\System32 i zatwierdzić przyciskiem OK : infolinia@

30 S t r o n a Gdy program wczyta zawartość karty kryptograficznej należy z paska wybrać opcję Token > Login > User login : infolinia@

31 S t r o n a Program zamonituje o wpisanie kodu PIN do profilu zwykłego karty. Należy go wprowadzić i zatwierdzić przyciskiem OK : 5. Następnie należy przejść do zakładki Certificates. Na liście wyświetlą się labele certyfikatów, dla których zostanie wykonana zmiana (tu dla przykładu label użytkownika zawierający znak diakrytyczny ó ): 6. Kliknięcie prawym przyciskiem myszy na labelu powoduje wywołanie menu, z którego należy wybrać opcję Edit attributes. infolinia@

32 S t r o n a W wyświetlonym oknie, prezentującym atrybuty wpisu, należy odnaleźć wpis CKA_LABEL. Następnie należy zaznaczyć wpis CKA_LABEL i użyć przycisku Edit do zmiany błędnej zawartości wpisu: infolinia@

33 S t r o n a Pole labela jest teraz edytowalne. Wystarczy skorygować label usuwając znaki diakrytyczne i potwierdzić przyciskiem OK : 9. Proces zmiany został ukończony. Dzięki temu przy wyborze certyfikatu do podpisu będzie możliwość podania aliasu nie zawierającego znaków diakrytycznych i co za tym idzie poprawne użycie certyfikatu. Przed przystąpieniem do podpisywania rezultat zmiany aliasu użytkownika sprawdzić można poleceniem: keytool -list -keystore NONE -storetype PKCS11 -providerclass sun.security.pkcs11.sunpkcs11 -providerarg provider.cfg W rezultacie instrukcja zwraca zawartość magazynu kluczy: Picked up _JAVA_OPTIONS: -Xms256m -Xmx1024m Enter keystore password: Keystore type: PKCS11 Keystore provider: SunPKCS11-Crypto3CSP Your keystore contains 1 entry Paula Olszowka, PrivateKeyEntry, Certificate fingerprint (SHA1): E0:82:8D:F9:D7:1C:4C:D8:7A:34:94:60:02:7F:0D:9C:B8:02:BF:31 infolinia@

34 S t r o n a 34 Podpisywanie Aby podpisać plik, w wierszu poleceń (cmd.exe) należy użyć następującego polecenia: jarsigner -keystore NONE -tsa "[1]" -certchain "[2]" -storetype PKCS11 -providerclass sun.security.pkcs11.sunpkcs11 -providerarg "[3]" -storepass "[4]" "[5]" "[6]" [1] Adres znacznika czasu. Dla [2] Ścieżka do pliku ścieżki certyfikatu (Sekcja Konfiguracja ), [3] Ścieżka do pliku konfiguracyjnego providera (Sekcja Konfiguracja ), [4] Hasło do profilu zwykłego karty, [5] Ścieżka do pliku podpisywanego, [6] Nazwa właściciela certyfikatu którą sprawdzić można w pro CardManagerze lub używając narzędzia keytool (więcej w rozdziale: ). Przykładowe, poprawne polecenie: jarsigner -keystore NONE -certchain "bundle.pem" -tsa " - storetype PKCS11 -providerclass sun.security.pkcs11.sunpkcs11 -providerarg "provider.cfg" -storepass "123456" "aplikacja.jar" "Asseco Data Systems S.A." Jeśli operacja podpisu przebiegła prawidłowo, konsola wyświetli następujący wynik: Picked up _JAVA_OPTIONS: -Xms256m -Xmx1024m jar signed. infolinia@

35 S t r o n a 35 Weryfikacja Aby zweryfikować plik, w wierszu poleceń (cmd.exe) należy użyć następującego polecenia: jarsigner -verify "[1]" [1] Ścieżka do pliku podpisywanego, Przykładowe, poprawne polecenie: jarsigner -verify "aplikacja.jar" W przypadku poprawnej weryfikacji pliku konsola wyświetli: Picked up _JAVA_OPTIONS: -Xms256m -Xmx1024m jar verified. W przypadku braku podpisu wynik jest następujący: Picked up _JAVA_OPTIONS: -Xms256m -Xmx1024m jar is unsigned. infolinia@

36 S t r o n a 36 Podpisywanie wsadowe W celu wsadowego podpisania wielu plików podczas jednej sesji należy utworzyć plik *.bat, zawierający tyle wpisów, ile plików ma zostać podpisane podczas jednego procesu podpisu. Działanie takie eliminuje konieczność każdorazowego wywoływania komendy w konsoli oraz wpisywania kodu PIN przy podpisie kolejnych plików. W celu utworzenia pliku, należy utworzyć nowy plik tekstowy *.txt, wkleić wpisy do podpisywania plików, zapisać plik oraz zmienić jego rozszerzenie z *.txt na *.bat. Poniższy przykład prezentuje zawartość pliku *.bat dla podpisu trzech aplikacji jednocześnie: jarsigner -keystore NONE -certchain "bundle.pem" -tsa " - storetype PKCS11 -providerclass sun.security.pkcs11.sunpkcs11 -providerarg "provider.cfg" -storepass "123456" "aplikacja1.jar" "Asseco Data Systems S.A." jarsigner -keystore NONE -certchain "bundle.pem" -tsa " - storetype PKCS11 -providerclass sun.security.pkcs11.sunpkcs11 -providerarg "provider.cfg" -storepass "123456" "aplikacja2.jar" "Asseco Data Systems S.A." jarsigner -keystore NONE -certchain "bundle.pem" -tsa " - storetype PKCS11 -providerclass sun.security.pkcs11.sunpkcs11 -providerarg "provider.cfg" -storepass "123456" "aplikacja3.jar" "Asseco Data Systems S.A." Tak zapisany plik można uruchomić w konsoli cmd.exe lub dwuklikiem, a rezultatem będzie rozpoczęcie podpisywania kolejnych plików, zawartych w pliku *.bat. Rezultatem uruchomienia pliku *.bat w konsoli będzie informacja o kolejnym wywołaniu komend i podpisie plików: C:\Users\user\Desktop\jarsigner>jarsigner -keystore NONE -certchain "bundle.pem" -tsa -storetype PKCS11 - providerclass sun.security.pkcs11.sunpkcs11 -providerarg "provider.cfg" -storepass "123456" "aplikacja1.jar" "Asseco Data Systems S.A" Picked up _JAVA_OPTIONS: -Xms256m -Xmx1024m jar signed. C:\Users\user\Desktop\jarsigner>jarsigner -keystore NONE -certchain "bundle.pem" -tsa -storetype PKCS11 - providerclass sun.security.pkcs11.sunpkcs11 -providerarg "provider.cfg" -storepass "123456" "aplikacja2.jar" "Asseco Data Systems S.A" infolinia@

37 S t r o n a 37 Picked up _JAVA_OPTIONS: -Xms256m -Xmx1024m jar signed. C:\Users\user\Desktop\jarsigner>jarsigner -keystore NONE -certchain "bundle.pem" -tsa -storetype PKCS11 - providerclass sun.security.pkcs11.sunpkcs11 -providerarg "provider.cfg" -storepass "123456" "aplikacja3.jar" "Asseco Data Systems S.A" Picked up _JAVA_OPTIONS: -Xms256m -Xmx1024m jar signed. infolinia@

38 S t r o n a 38 8 Najczęstsze problemy: 1. Podczas podpisu narzędziem signtool przy wykorzystaniu algorytmu SHA-2 występuje problem z podpisaniem: Done Adding Additional Store SignTool Error: An unexpected internal error has occurred. Error information: "Error: SignerSign() failed." ( /0x ) Rozwiązanie: W oprogramowaniu pro CardManager należy wybrać przycisk Opcje > zaznaczyć opcję EV Code Signing zastąp CSP biblioteką minidriver. Następnie zrestartować system i podjąć próbę podpisu ponownie. 2. Podczas podpisu narzędziem jarsigner pojawia się komunikat: Picked up _JAVA_OPTIONS: -Xms256m -Xmx1024m jar signed. Warning: The signer's certificate chain is not validated. Rozwiązanie: Należy zweryfikować zawartość pliku bundle.pem. Plik zawiera prawdopodobnie nieprawidłowe certyfikaty bądź certyfikaty w nieprawidłowej kolejności. Plik bundle.pem powinien zawierać certyfikaty: 1. Certyfikat Subskrybenta, 2. Odpowiedni certyfikat pośredni. Więcej o pliku bundle.pem w punkcie Podczas weryfikacji podpisu narzędziem jarsigner pojawia się komunikat: Picked up _JAVA_OPTIONS: -Xms256m -Xmx1024m jarsigner: java.lang.securityexception: cannot verify signature block file META-INF/PAULA_OL PAULA_OL to przykładowa sygnatura, zależna od aliasu użytkownika. Więcej o aliasach w punkcie infolinia@

39 S t r o n a 39 Rozwiązanie: Należy zweryfikować zawartość pliku bundle.pem. Plik zawiera prawdopodobnie nieprawidłowe certyfikaty bądź certyfikaty w nieprawidłowej kolejności. Plik bundle.pem powinien zawierać certyfikaty: 1. Certyfikat Subskrybenta, 2. Odpowiedni certyfikat pośredni. 4. Podczas podpisu narzędziem jarsigner pojawia się komunikat: Picked up _JAVA_OPTIONS: -Xms256m -Xmx1024m jar signed. Warning: The signer certificate's KeyUsage extension doesn't allow code signing. Rozwiązanie: Należy zweryfikować zawartość pliku bundle.pem. Plik prawdopodobnie nie zawiera na pierwszej pozycji certyfikatu Subskrybenta. Plik bundle.pem powinien zawierać certyfikaty: 1. Certyfikat Subskrybenta, 2. Odpowiedni certyfikat pośredni. Więcej o pliku bundle.pem w punkcie infolinia@