我们已经购买了一个代码签名证书,并且我使用此证书签署了一个小程序jar,使用jarsigner命令和.pfx格式的证书。但是,当小程序加载到浏览器中时,它会显示"发布者未知"和"无法验证数字签名"错误。如果我从 Java 控制面板 -> 安全性 -> 证书 -> 签名者 CA 导入证书,发布服务器将开始正确显示,并显示"数字签名已验证"消息。
我的问题是,当我们使用受信任的证书对 jar 进行签名时,为什么我仍然必须导入证书才能看到正确的结果?它不应该正确显示发布者/正确验证签名,即使不必导入它?
我的问题得到了解决。我用来对 jar 进行签名的证书(.pfx 格式)中存在问题。从 CA 站点生成此证书时,未选中"包括路径中的所有证书"复选框。因此,证书没有小程序 jar 中签名验证所需的完整链。
以下命令可用于在 .pfx 文件中显示证书的详细信息 openssl pkcs12 -in <pfx_file_name>.pfx -nodes
问题的证书只列出了 1 个证书;而后来生成的证书有 3 个证书的完整链。