我需要在内联网中使用Java小程序安装我们的网站。这将在 Apache 下运行,并包含部署所需的所有小程序的 JNLP 和 JAR 文件。与此相反,我的Java小程序由Thawte证书签名。
主要问题如下:由受信任证书签名的 Java 小程序是否会在 Intranet 的客户端计算机上启动?
我无法回答自己的问题,因为我不知道在小程序启动之前如何验证证书。我找到了这篇文章,解释了证书的吊销选项,但我不确定吊销检查是否与第一次小程序启动时的证书验证相同。
我通过在客户端计算机上禁用互联网连接并设置与本地服务器的有线连接来进行测试。我也不确定这样的测试是否干净,因为我的客户端计算机在连接到互联网之前运行过这个签名的小程序。无论如何,在测试之前,我去了Java Control Panel> Security> Manage Certificates并从Trusted Certificates中删除了证书。当我每次看到对话框时都使用小程序打开页面Security Warning:
是否要运行此应用程序?
运行此应用程序可能存在安全风险
风险:此应用程序将以不受限制的访问运行,这可能会使您的计算机和个人信息面临风险。提供的信息不可靠或未知,因此建议您不要运行此应用程序,除非您熟悉其来源
无法确保用于标识此应用程序的证书未被吊销
接受风险会将证书添加到 Java 控制面板中的受信任证书列表中。这是否意味着 Java 或/和 Web 浏览器自己识别证书?
在客户端计算机上的 Java 控制面板中Perform certificate revocation checks on选项设置为Do not check (not recommended)会给出所需的结果 - 系统将提示用户像往常一样启动签名的小程序,并且可以在将来禁用此类消息。设置此选项是否足以在内网中运行小程序?
答案是肯定的,但关闭吊销检查会给客户端带来安全风险。仅当运行小程序的计算机位于托管网络(如公司网络)中并且没有互联网连接时,才建议这样做。请记住,吊销检查是一个全局选项,不能按小程序或域设置。你也可以看看这个线程。