如何检查 Java Web Start 应用程序是否会在证书过期后继续工作
How to check if Java Web Start app will continue working after certificate expires
我们使用来自 CA (Thawte) 的代码签名证书签署了 Java Web Start 应用程序。签名带有时间戳(我们将 -tca https://timestamp.geotrust.com/tsa 参数传递给 jarsigner 工具)在证书过期后有效。目前,当证书有效时,该应用程序可以正常运行。但是,当我们尝试将本地时间向前更改以模拟证书过期时,应用程序将无法启动。我们得到以下异常:
java.security.cert.CertificateException: java.security.cert.CertPathValidatorException: Responder's certificate not within the validity period
at com.sun.deploy.security.RevocationChecker.checkOCSP(Unknown Source)
at com.sun.deploy.security.RevocationChecker.check(Unknown Source)
at com.sun.deploy.security.TrustDecider.checkRevocationStatus(Unknown Source)
at com.sun.deploy.security.TrustDecider.getValidationState(Unknown Source)
at com.sun.deploy.security.TrustDecider.validateChain(Unknown Source)
at com.sun.deploy.security.TrustDecider.isAllPermissionGrantedInt(Unknown Source)
at com.sun.deploy.security.TrustDecider.isAllPermissionGranted(Unknown Source)
at com.sun.javaws.security.AppPolicy.grantUnrestrictedAccess(Unknown Source)
at com.sun.javaws.security.JNLPSignedResourcesHelper.checkSignedResourcesHelper(Unknown Source)
at com.sun.javaws.security.JNLPSignedResourcesHelper.checkSignedResources(Unknown Source)
at com.sun.javaws.Launcher.prepareResources(Unknown Source)
at com.sun.javaws.Launcher.prepareAllResources(Unknown Source)
at com.sun.javaws.Launcher.prepareToLaunch(Unknown Source)
at com.sun.javaws.Launcher.prepareToLaunch(Unknown Source)
at com.sun.javaws.Launcher.launch(Unknown Source)
at com.sun.javaws.Main.launchApp(Unknown Source)
at com.sun.javaws.Main.continueInSecureThread(Unknown Source)
at com.sun.javaws.Main.access[=11=]0(Unknown Source)
at com.sun.javaws.Main.run(Unknown Source)
at java.lang.Thread.run(Unknown Source)
Caused by: java.security.cert.CertPathValidatorException: Responder's certificate not within the validity period
at sun.security.provider.certpath.OCSPResponse.verify(Unknown Source)
at sun.security.provider.certpath.OCSP.check(Unknown Source)
at sun.security.provider.certpath.OCSP.check(Unknown Source)
at sun.security.provider.certpath.OCSP.check(Unknown Source)
at com.sun.deploy.security.RevocationChecker.run(Unknown Source)
at com.sun.deploy.security.RevocationChecker.run(Unknown Source)
at java.security.AccessController.doPrivileged(Native Method)
at com.sun.deploy.security.RevocationChecker.doPrivilegedOCSPCheck(Unknown Source)
... 20 more
Caused by: java.security.cert.CertificateExpiredException: NotAfter: Thu Dec 17 00:59:59 CET 2015
at sun.security.x509.CertificateValidity.valid(Unknown Source)
at sun.security.x509.X509CertImpl.checkValidity(Unknown Source)
... 28 more
证书有效期为 2015 年 10 月 9 日至 2017 年 11 月 8 日。
我们尝试使用 jarsigner 工具验证已签名的 JAR。所有文件似乎都有时间戳:
[entry was signed on 9.10.15 16:42]
X.509, CN="GEOVAP, spol. s.r.o.", OU=Software, O="GEOVAP, spol. s.r.o.", L=Pardubice, ST=Czech Republic, C=CZ
[certificate is valid from 9.10.15 2:00 to 8.11.17 0:59]
X.509, CN=thawte SHA256 Code Signing CA, O="thawte, Inc.", C=US
[certificate is valid from 10.12.13 1:00 to 10.12.23 0:59]
所以 jarsigner 输出似乎是正确的。有人可以确认这真的意味着签名有时间戳吗?
我们注意到,如果我们仅将当地时间向前更改几 (3) 天,那么该应用程序就可以正常工作。但是如果我们改变它更多(一周)那么我们就会得到例外。 CA 服务器是否检查客户端本地时间是否有效?如果确实如此,我们如何模拟证书过期?谢谢。
JDK keytool 也可以用来检查时间戳:
keytool -printcert -jarfile app.jar
时间戳报告应如下所示:
Timestamp:
Owner: CN=GeoTrust 2048-bit Timestamping Signer 1, O=GeoTrust Inc, C=US
Issuer: CN=Symantec Time Stamping Services CA - G2, O=Symantec Corporation, C=US
Serial number: 5fd693fab098e3f4677bb8cb672c229e
Valid from: Thu Jun 11 02:00:00 CEST 2015 until: Wed Dec 30 00:59:59 CET 2020
Certificate fingerprints:
MD5: 2B:51:8D:A4:11:F1:43:C7:84:62:5A:41:95:BB:5E:05
SHA1: D7:1D:45:62:C6:33:36:7C:34:E3:66:CF:B7:6F:B9:7B:05:AF:34:B4
SHA256: DC:DA:D2:91:F5:32:D5:BD:FC:E6:9D:06:41:A1:45:57:85:74:E0:D5:B9:8F:19:00:6C:19:AB:2E:9D:F9:96:42
Signature algorithm name: SHA1withRSA
Version: 3
原因和解决方法
您的异常堆栈跟踪显示使用 OCSP(在线证书状态协议)的证书吊销检查失败,因为 OCSP 响应者的证书在您的测试日期到期(不是因为您的证书)。
要执行测试,请尝试在 Java 控制面板中关闭证书吊销检查。
还要确保您的证书尚未被永久接受(在 Java 控制面板中使用 "Restore security prompts")。
关于时间戳签名的注意事项
目前(在 j8u66 到 j8u144 之前)带时间戳的签名不能持久地防止签名过期。 Web Start 不会抱怨您的证书过期。但是,它会在您的 TSA 证书过期时阻止您的申请并声明 "certificate has expired or is not yet valid"。您可以使用甚至在 keytool -printcert 输出的 Timestamp: 部分中可见的 TSA 证书到期日期之后的日期进行测试。
根据您的应用程序类型,这可能是一个严重的问题。时间戳目前只给你更多的时间,直到应用程序启动被阻止。我们在嵌入式环境中遇到了这个问题,并就此问题提出了 Oracle 支持请求。
2016-01-07 更新:Oracle 支持的最终答案是 "There is no bug. The behaviour is expected and intentional. There will definitely be no change."。这意味着没有办法在没有过期的情况下签署申请。
2017 年 11 月 6 日更新:尽管 Oracle 从 2016 年开始声明,即使在 TSA 的 Web Start j8u151 证书到期日期之后签名仍然有效(使用 j8u144 和 j8u151 测试,j9 未测试)。这是故意的还是错误的,值得怀疑。
我们使用来自 CA (Thawte) 的代码签名证书签署了 Java Web Start 应用程序。签名带有时间戳(我们将 -tca https://timestamp.geotrust.com/tsa 参数传递给 jarsigner 工具)在证书过期后有效。目前,当证书有效时,该应用程序可以正常运行。但是,当我们尝试将本地时间向前更改以模拟证书过期时,应用程序将无法启动。我们得到以下异常:
java.security.cert.CertificateException: java.security.cert.CertPathValidatorException: Responder's certificate not within the validity period
at com.sun.deploy.security.RevocationChecker.checkOCSP(Unknown Source)
at com.sun.deploy.security.RevocationChecker.check(Unknown Source)
at com.sun.deploy.security.TrustDecider.checkRevocationStatus(Unknown Source)
at com.sun.deploy.security.TrustDecider.getValidationState(Unknown Source)
at com.sun.deploy.security.TrustDecider.validateChain(Unknown Source)
at com.sun.deploy.security.TrustDecider.isAllPermissionGrantedInt(Unknown Source)
at com.sun.deploy.security.TrustDecider.isAllPermissionGranted(Unknown Source)
at com.sun.javaws.security.AppPolicy.grantUnrestrictedAccess(Unknown Source)
at com.sun.javaws.security.JNLPSignedResourcesHelper.checkSignedResourcesHelper(Unknown Source)
at com.sun.javaws.security.JNLPSignedResourcesHelper.checkSignedResources(Unknown Source)
at com.sun.javaws.Launcher.prepareResources(Unknown Source)
at com.sun.javaws.Launcher.prepareAllResources(Unknown Source)
at com.sun.javaws.Launcher.prepareToLaunch(Unknown Source)
at com.sun.javaws.Launcher.prepareToLaunch(Unknown Source)
at com.sun.javaws.Launcher.launch(Unknown Source)
at com.sun.javaws.Main.launchApp(Unknown Source)
at com.sun.javaws.Main.continueInSecureThread(Unknown Source)
at com.sun.javaws.Main.access[=11=]0(Unknown Source)
at com.sun.javaws.Main.run(Unknown Source)
at java.lang.Thread.run(Unknown Source)
Caused by: java.security.cert.CertPathValidatorException: Responder's certificate not within the validity period
at sun.security.provider.certpath.OCSPResponse.verify(Unknown Source)
at sun.security.provider.certpath.OCSP.check(Unknown Source)
at sun.security.provider.certpath.OCSP.check(Unknown Source)
at sun.security.provider.certpath.OCSP.check(Unknown Source)
at com.sun.deploy.security.RevocationChecker.run(Unknown Source)
at com.sun.deploy.security.RevocationChecker.run(Unknown Source)
at java.security.AccessController.doPrivileged(Native Method)
at com.sun.deploy.security.RevocationChecker.doPrivilegedOCSPCheck(Unknown Source)
... 20 more
Caused by: java.security.cert.CertificateExpiredException: NotAfter: Thu Dec 17 00:59:59 CET 2015
at sun.security.x509.CertificateValidity.valid(Unknown Source)
at sun.security.x509.X509CertImpl.checkValidity(Unknown Source)
... 28 more
证书有效期为 2015 年 10 月 9 日至 2017 年 11 月 8 日。
我们尝试使用 jarsigner 工具验证已签名的 JAR。所有文件似乎都有时间戳:
[entry was signed on 9.10.15 16:42]
X.509, CN="GEOVAP, spol. s.r.o.", OU=Software, O="GEOVAP, spol. s.r.o.", L=Pardubice, ST=Czech Republic, C=CZ
[certificate is valid from 9.10.15 2:00 to 8.11.17 0:59]
X.509, CN=thawte SHA256 Code Signing CA, O="thawte, Inc.", C=US
[certificate is valid from 10.12.13 1:00 to 10.12.23 0:59]
所以 jarsigner 输出似乎是正确的。有人可以确认这真的意味着签名有时间戳吗?
我们注意到,如果我们仅将当地时间向前更改几 (3) 天,那么该应用程序就可以正常工作。但是如果我们改变它更多(一周)那么我们就会得到例外。 CA 服务器是否检查客户端本地时间是否有效?如果确实如此,我们如何模拟证书过期?谢谢。
JDK keytool 也可以用来检查时间戳:
keytool -printcert -jarfile app.jar
时间戳报告应如下所示:
Timestamp:
Owner: CN=GeoTrust 2048-bit Timestamping Signer 1, O=GeoTrust Inc, C=US
Issuer: CN=Symantec Time Stamping Services CA - G2, O=Symantec Corporation, C=US
Serial number: 5fd693fab098e3f4677bb8cb672c229e
Valid from: Thu Jun 11 02:00:00 CEST 2015 until: Wed Dec 30 00:59:59 CET 2020
Certificate fingerprints:
MD5: 2B:51:8D:A4:11:F1:43:C7:84:62:5A:41:95:BB:5E:05
SHA1: D7:1D:45:62:C6:33:36:7C:34:E3:66:CF:B7:6F:B9:7B:05:AF:34:B4
SHA256: DC:DA:D2:91:F5:32:D5:BD:FC:E6:9D:06:41:A1:45:57:85:74:E0:D5:B9:8F:19:00:6C:19:AB:2E:9D:F9:96:42
Signature algorithm name: SHA1withRSA
Version: 3
原因和解决方法
您的异常堆栈跟踪显示使用 OCSP(在线证书状态协议)的证书吊销检查失败,因为 OCSP 响应者的证书在您的测试日期到期(不是因为您的证书)。
要执行测试,请尝试在 Java 控制面板中关闭证书吊销检查。
还要确保您的证书尚未被永久接受(在 Java 控制面板中使用 "Restore security prompts")。
关于时间戳签名的注意事项
目前(在 j8u66 到 j8u144 之前)带时间戳的签名不能持久地防止签名过期。 Web Start 不会抱怨您的证书过期。但是,它会在您的 TSA 证书过期时阻止您的申请并声明 "certificate has expired or is not yet valid"。您可以使用甚至在 keytool -printcert 输出的 Timestamp: 部分中可见的 TSA 证书到期日期之后的日期进行测试。
根据您的应用程序类型,这可能是一个严重的问题。时间戳目前只给你更多的时间,直到应用程序启动被阻止。我们在嵌入式环境中遇到了这个问题,并就此问题提出了 Oracle 支持请求。
2016-01-07 更新:Oracle 支持的最终答案是 "There is no bug. The behaviour is expected and intentional. There will definitely be no change."。这意味着没有办法在没有过期的情况下签署申请。
2017 年 11 月 6 日更新:尽管 Oracle 从 2016 年开始声明,即使在 TSA 的 Web Start j8u151 证书到期日期之后签名仍然有效(使用 j8u144 和 j8u151 测试,j9 未测试)。这是故意的还是错误的,值得怀疑。