Jar包的签名和验签

Jar包经过签名后,内置入了数字签名和public key,验证者可以使用这两项数据进行验证,从而可以使用Jar包。

JDK 提供了 keytool 和 jarsigner 两个工具用来进行 Jar 包签名和验证。keytool 用来生成和管理 keystore。keystore 是一个数据文件,存储了 key pair 有关的2种数据:private key 和 certificate,而 certificate 包含了 public key。jarsigner 读取 keystore,为 Jar 包进行数字签名。jarsigner 也可以对签名的 Jar 包进行验证。以下方法适用于JDK1.8环境。

1. 用keytool生成keystore

对于在本地生成的Jar包,首先要生成一个keystore:

1
keytool -genkey -alias zhaoyh -keyalg RSA -validity 2000 -keystore zhaoyh.keystore

输入所需要的数据即可!

查看签名信息:

1
keytool -list -keystore "zhaoyh.keystore"

2. 用jarsigner对Jar包进行签名

对于Jar包Ds.jar而言:

1
jarsigner -tsa http://timestamp.digicert.com -sigalg SHA1withRSA -digestalg SHA1 -verbose -keystore zhaoyh.keystore -signedjar XX_Signed.jar XX.jar zhaoyh

3. Jar包异地验证

异地需要XX_Signed.jar和密钥文件zhaoyh.keystore,验证签名:

1
jarsigner -verify -verbose -keystore zhaoyh.keystore XX_Signed.jar

此时Jar包就可以正常使用了!