Algumas coisas você precisará fazer.
- Em primeiro lugar, nas lojas de confiança da JVM java, o certificado da CA raiz em sua PKI
- ambos onde o código assinado será executado e a caixa onde você está fazendo a assinatura de código, que por padrão seria % JAVAHOME% / lib / security / cacerts
- No Windows, isso geralmente seria % PROGRAMFILES% \ Java \ jre7 \ lib \ security \ cacerts
- Também deve estar no sistema trust-store para qualquer caixa onde você irá executar esse código
- Windows: mmc.exe - > Certificados - > Conta de computador - > Autoridades de Certificação Raiz Confiáveis
- RHEL: / etc / pki / tls / certs /
- ambos onde o código assinado será executado e a caixa onde você está fazendo a assinatura de código, que por padrão seria % JAVAHOME% / lib / security / cacerts
- Em segundo lugar, verifique se o certificado de assinatura de código está configurado para assinar códigos
- Ele deve ter o uso de chave estendida "Assinatura de código" (isso pode ser representado numericamente como OID 1.3.6.1.5.5.7.3.3 estando presente e definido como verdadeiro)
- O uso principal deve incluir assinatura digital
- Deve ter a restrição Básica "CA" definida como falsa (isso também pode ser listado como "Tipo de Assunto = Entidade Final") e "crítica" definida como "verdadeira"
- Ele deve ter um CDP (ponto de distribuição de CRL) listado e que deve apontar para um URL HTTP ou LDAP válido em que a CRL esteja disponível (isso permite que você desconfigure explicitamente um código considerado inadequado depois de ter sido assinado)