Ensemble de règles de deployment Java via AD Enterprise CA

Mon objective est de mettre en place un set de règles de deployment Java dans mon organisation, mais je ne veux pas payer d'autorité de certificateion tierce pour un certificate de signature de code lorsque nous disposons d'une autorité de certificateion active via Active Directory. J'ai suivi ce que je pense être la procédure correcte pour get cela accompli, mais quand je vais enfin exécuter n'importe quelle applet Java, je reçois l'erreur suivante:

Impossible de vérifier le jeu de règles de deployment auto-signé

Les étapes que j'ai suivies sont les suivantes:

  1. Exporté notre certificate d'autorité de certificateion racine
  2. Certificat racine importé dans des cacerts dans le path d'installation JRE
  3. Certificat racine importé dans un magasin de keys personnel
  4. Généré un CSR avec keytool pour un nouveau cert avec un magasin de keys personnel
  5. Soumis CSR à l'entreprise CA en utilisant certreq, avec le model "Code Signing"
  6. Importait ce cert dans le magasin de keys personnel
  7. Créé un set de règles de deployment très basique et compilé dans un pot
  8. Signé le jar avec le cert dans le magasin de keys personnel de l'étape 6
  9. Copié le pot signé dans \ Windows \ Sun \ Java \ Deployment \

Les étapes ci-dessus sont toutes terminées sans erreur – rien sur les strings de certificates invalides ou similaires. Je peux voir le certificate CA de la racine dans le panneau de contrôle Java et lorsque je clique sur le lien Définir les règles de deployment dans le panneau de contrôle et que je vois son cert, je vois le cert à partir de l'étape 6 et c'est CA parent, qui ont tous deux des dates d'expiration futures et corriger les informations autant que je peux le dire. Mais je reçois toujours l'erreur de vérification lors de l'exécution d'une applet

Donc – n'est-il pas possible de le faire, et nous devons payer un cert? Ou suis-je (j'espère) en train de faire quelque chose de manière incorrecte? Si quelqu'un a une idée, il serait grandement apprécié, merci!

5 Solutions collect form web for “Ensemble de règles de deployment Java via AD Enterprise CA”

Correction trouvée.

Nous avons eu exactement le même problème. J'ai essayé tout ce qui précède et rien ne fonctionne. Chrome ne semble pas tirer le gestionnaire de certificates Windows correctement ou tout au less vérifier la signature de notre CA d'entreprise. J'ai essayé d'append notre certificate CA racine et jamais notre certificate CA subordonné à toutes les banques de keys système sans succès.

Le problème est que Chrome ne regarde que les magasins de keys user, et non sur les magasins de keys du système pour des raisons étranges. Après avoir ajouté le certificate RootCA à l'autorité de certificateion USER SIGNER, cela a fonctionné.

Ne fonctionne pas: %JAVA_HOME%\lib\security\cacerts

Works: %USERPROFILE%\AppData\LocalLow\Sun\Java\Deployment\security\trusted.cacerts

Google ou JAVA devraient résoudre ce problème.

Il est maintenant time de script d'injection pour nos users.

Il s'avère que cela ne se produit que dans Chrome et Firefox, mais pas dans IE. Je n'ai pas testé avec Opera ou Safari. Le gestionnaire de certificates de Chrome supprime le gestionnaire de certificates de Windows, qui comprend bien sûr le certificate de notre entreprise CA, et l'ajout de ce certificate au gestionnaire de certificates de Firefox ne semble pas avoir d'effet. Le jeu de règles de deployment fonctionne parfaitement dans IE.

Je n'utilise que Chrome parce que je suis plus à l'aise avec ses outils de développement que les IE – nos users utilisent IE et si vous utilisez une CA d'entreprise Windows et vous connectez à d'anciens systèmes existants avec un mélange de Java et ActiveX probablement, vos users sont aussi. Je vais marquer cela comme réponse puisque le passage à IE fonctionne pour moi, mais j'espère qu'à l'avenir, on finda une solution pour les autres browsers.

Le problème est que le certificate n'est pas dans le file cacerts Java. Le problème est expliqué dans le document de support My Oracle «Comment traiter les certificates des autorités de certificateion non approuvées (Doc ID 1604086.1)», le didacticiel de signature de code java ou un article de blog auto-signé pour une communauté connue .

Essentiellement, vous devez importer le certificate de votre CA dans les files de cacerts de vos ordinateurs clients. J'ai fini par exécuter une command comme celle-ci après chaque installation JRE avant de copyr DeploymentRuleSet.jar:

%JAVA_HOME%\bin\keytool.exe -importcert -keystore %JAVA_HOME%\lib\security\cacerts -storepass changeit -alias YOURCA -noprompt -file \path\to\root\certificatee.cer

Vous devrez émettre cette command pour la bonne zone d'installation:

  • C: \ Program Files \ Java \ jre # – Pour la plupart des users, cela sera utilisé par les browsers qui lancent des RIA.
  • C: \ Program Files \ Java \ jdk1. #. 0 _ # \ jre – Pour les systèmes de développement créant un logiciel et exécutant des outils de développement.

Mon problème était que la nouvelle mise à jour de Java n'a pas supprimé l'ancien DeploymentRuleSet.jar qui a été utilisé uniquement par certaines versions précédentes et qui, dans mon cas, réside à:

 C:\Windows\Sun\Java\Deployment\DeploymentRuleSet.jar 

Le file dans ce dossier ne dépend pas de l'endroit où se trouve le dossier d'installation Java, et même après que Oracle a retiré Sun name de Java (et, par conséquent, a changé certains locations de files dans les versions plus récentes de Java), le file ci-dessus est resté dans le système, et il semblait que les nouvelles versions de Java continuaient à l'utiliser.

Après que Oracle a supprimé le paramètre de security moyenne pour les applets Java, tout ce qui concerne Java s'est arrêté pour fonctionner, il suffit de signaler que "Impossible de vérifier la règle set jar", et aucune solution donnée sur Internet n'a aidé.

J'ai trouvé ce dossier en scrutant le registre pour la string Java pour nettoyer tout ce qui concerne Java à partir du système mu et faire une installation propre, et il s'est avéré que c'était le problème. Pourquoi les dernières versions de Java ont-elles continué à utiliser ce file?

Puisque j'ai retiré ce file jar du système (sur mes 3 ordinateurs, c'était le même problème sur Windows 7, 32 bits et 64 bits), Java fonctionne sans problèmes, mais je n'ai trouvé cette solution nulle part sur Internet.

J'ai beaucoup lutté avec le même problème et j'ai trouvé une solution. La solution était d'importer mon certificate dans le magasin de certificates de la console Java sous le type de certificate "Signer CA". Ensuite, j'ai pu exécuter mes applets auto-signées également dans Firefox et Chrome.

  • Tomcat semble différent lorsqu'il est installé à l'aide de yum et apt-get
  • Tomcat sur server virtuel: JVM ne peut pas démarrer car 44 Go de RAM n'est pas suffisant?
  • Apache + tomcat + jnlp
  • Raisons d'un scénario de timeout TCP
  • Java: Limite le nombre de cœurs qu'une JVM peut utiliser
  • Processus multiples * presque identiques sur un serveur Linux
  • Comment puis-je vérifier si mon process ElasticSearch utilise des uops compressés?
  • Comment rafraîchir le journal quotidiennement?
  • Serveur d'applications Java pour Windows
  • Glassfish Server JVM Tunning
  • Comment démarrer le service java automatiquement lorsque le server Centos démarre
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.