Seit Java 7u51, das Anfang 2014 herauskam, müssen Applets und Webstart-Anwendungen signiert sein. Sind sie es nicht, verweigern die Default-Sicherheitseinstellungen von Java die Ausführung.
Zum Signieren von Applets oder Webstart-Anwendungen wird das Tool jarsigner
verwendet. Die CodeSigning-Zertifikate aus der DFN-PKI können hierfür genutzt werden.
Seit Java 7u51 gibt der jarsigner
eine Warnung aus, wenn eine Signatur erstellt wird, ohne gleichzeitig einen Zeitstempel einzubinden. Mit folgendem Aufruf wird eine Signatur unter Verwendung des Zeitstempeldienstes der DFN-PKI erstellt:
jarsigner -tsa http://zeitstempel.dfn.de -keystore <CodeSigning-Zertifikat.p12> -storetype pkcs12
Optional kann, entgegen teilweise anzutreffender Dokumentation, auch noch ein Proxy für den Zeitstempelserver angegeben werden. Die Parameter hierfür sind:
-J-Dhttp.proxyHost=<ProxyHost> -J-Dhttp.proxyPort=<ProxyPort>
Weitere Informationen: https://www.pki.dfn.de/faqpki/faqpki-codesigning/
(jbr, 14.08.2014)