Download - Svetlin Nakov

More documents

Recommendations

Info

- DocumentSigningDemoWebApp – Java-базирано уеб приложение за посрещане на подписан документ и верификация на неговия цифров подписи и сертификат. Приложението включва подсистема за верификация на цифрови подписи, подсистема за директна верификация на сертификат и подсистема за верификация на сертификационна верига. От страна на клиента работи стандартен уеб браузър, в който се изпълняват Java аплети за подписване на документи. Подписаните документи се изпращат към уеб сървъра чрез стандартна уеб форма по протокол HTTP. Подписването чрез сертификат от PKCS#12 хранилище и подписването със смарт карта се реализират поотделно от два различни Java аплета. От страна на сървъра работи Java-базирано уеб приложение, което посреща подписаните документи и проверява цифровия им подпис, както и сертификата, с който са подписани. Ако сертификатът пристига заедно със сертификационната си верига, тя също се верифицира. Реализирани са два метода за верификация – директна проверка на сертификат и проверка на сертификационна верига. При директната проверка на сертификат се проверява дали сертификатът е валиден към датата на проверката и дали е подписан (издаден) от някой от сертификатите, на които сървърът има директно доверие. При проверката на сертификационната верига даден сертификат се счита за валиден, ако е валидна веригата му и ако тя завършва с Root-сертификат на който сървърът има доверие. Нека сега разгледаме в детайли отделните компоненти на системата. 3.2. Java аплет за подписване на документи Сега ще разгледаме конкретните проблеми, които възникват при реализацията на Java аплет, който служи за подписване на документи в клиентския уеб браузър. Разликата между аплета, който подписва със сертификат, извлечен от PKCS#12 файл и аплета, който подписва със смарт карта, е минимална, така че ще разгледаме и двата едновременно. 3.2.1. Подписани Java аплети Нека разгледаме в детайли технологията на подписаните аплети, защото ще трябва да я използваме за да повишим правата, с които се изпълнява нашият аплет. Необходим е достъп до файловата система Аплетът, който разработваме, трябва да може да подписва файлове от локалната машина и следователно трябва да може да ги чете. По принцип Java аплетите се изпълняват с намалени права и нямат достъп до файловата система на машината, на която работят. За да се преодолее това ограничение, е необходимо аплетът да работи с пълни права, а за тази цел той трябва да бъде подписан. 64
Подписване на Java аплети с инструмента keytool За да повишим правата, с които се изпълнява даден аплет, е необходимо да го подпишем. Нека разгледаме как става това. Да предположим, че сме написали кода на даден аплет и след като сме го компилирали, сме получили файла Applet.jar. Необходимо е да подпишем този JAR файл. Можем да използваме за целта програмката jarsigner, която се разпространява стандартно с JDK 1.4. По подразбиране тя се инсталира в директория %JAVA_HOME%\bin. Ето един пример за нейното използване: jarsigner –storetype pkcs12 –keystore keystore.pfx -storepass store_password –keypass private_key_password Applet.jar signFilesAlias Посочената команда подписва JAR файла Applet.jar с личния ключ, записан под име signFilesAlias в хранилището за сертификати и ключове keystore.pfx като използва пароли за достъп до хранилището и сертификата съответно store_password и private_key_password. Програмката jarsigner поддържа два типа хранилища за сертификати и ключове – Java Key Store (.JKS файлове) и PKCS#12 (.PFX файлове). За да я използваме, трябва или да имаме сертификат, издаден от някой сертификационен орган (PFX файл, съдържащ сертификата и съответния му личен ключ) или трябва да си генерираме саморъчно-подписан сертификат. От JDK 1.5 jarsigner поддържа подписване и със смарт карта. Генериране на саморъчно подписани сертификати с jarsigner За да си генерираме саморъчно-подписан (self-signed) сертификат можем да използваме програмката keytool, която идва стандартно с JDK 1.4. Ето примерна команда за генериране на саморъчно-подписан сертификат: keytool -genkey -alias signFiles -keystore SignApplet.jks -keypass !secret -dname "CN=My Company" -storepass !secret Посочената команда генерира X.509 сертификат и съответен на него личен ключ и ги записва под име signFiles в хранилището за ключове и сертификати SignApplet.jks. В сертификата се записва, че собственикът му е “My Company”, а за парола за достъп до хранилището и до личния ключ се използва “!secret”. По подразбиране програмката keytool използва формата за хранилища JKS (Java Key Store). Подписване на аплет със саморъчно-подписан сертификат Можем да използваме генерирания с предходната команда саморъчноподписан сертификат за да подпишем нашия аплет по следния начин: jarsigner -keystore SignApplet.jks -storepass !secret -keypass !secret Applet.jar signFiles 65
Page 2 and 3:
Java за цифрово подпи
Page 4 and 5:
НАЦИОНАЛНА АКАДЕМИ
Page 6 and 7:
Съдържание СЪДЪРЖА
Page 8 and 9:
Увод Настоящата ра
Page 10 and 11:
сървърът има довер
Page 12 and 13:
Page 14 and 15: обратното. Това пра
Page 16 and 17: Цифрово подписване
Page 18 and 19: Фигура 1-2. Верифика
Page 20 and 21: независима страна,
Page 22 and 23: (транзитивно). Техн
Page 24 and 25: това лице (име, орга
Page 26 and 27: В света на цифроват
Page 28 and 29: Саморъчно подписан
Page 30 and 31: Тя започва от серти
Page 32 and 33: Хранилищата са защ
Page 34 and 35: Издаване на сертиф
Page 36 and 37: По подразбиране пр
Page 38 and 39: Фигура 1-11. Списък с
Page 40 and 41: Закупуване на цифр
Page 42 and 43: .NET Windows Forms контрола
Page 44 and 45: Фигура 1-13. Подписан
Page 46 and 47: Предимство на тази
Page 48 and 49: Java аплетите и сигур
Page 50 and 51: Глава 2. Цифрови под
Page 52 and 53: java.security.KeyStore Класът
Page 54 and 55: certFactory.generateCertificate(str
Page 56 and 57: java.security.cert.TrustAnchor Кл
Page 58 and 59: Преди извикване на
Page 60 and 61: Използване на Sun PKCS#
Page 62 and 63: НАЦИОНАЛНА АКАДЕМИ
Page 66 and 67: Тази команда подпи
Page 68 and 69: Стандартно Java апле
Page 70 and 71: Процесът на подпис
Page 72 and 73: Директна верификац
Page 74 and 75: Глава 4. NakovDocumentSigner -
Page 76 and 77: * The applet asks the user to locat
Page 78 and 79: } "Unable to access the local file
Page 80 and 81: private KeyStore loadKeyStoreFromPF
Page 82 and 83: import java.awt.event.*; import jav
Page 84 and 85: * Called when the browse button is
Page 86 and 87: ** * File filter class, intended to
Page 88 and 89: Skip padding from the end of encode
Page 90 and 91: след кодиране с Base64
Page 92 and 93: Важно е да не из
Page 94 and 95: Сертификати за тес
Page 96 and 97: * All rights reserved. This code is
Page 98 and 99: new PKCS11LibraryFileAndPINCodeDial
Page 100 and 101: Provider pkcs11Provider = (Provider
Page 102 and 103: import java.awt.*; import java.awt.
Page 104 and 105: ** * Called when the "Browse" butto
Page 106 and 107: } } return mResult; /** * File filt
Page 108 and 109: Резултатът от изпъ
Page 110 and 111: Фигура 4-3. Java Plug-In 1.5
Page 112 and 113: За директната пров
Page 114 and 115:
Document signing apple
Page 116 and 117:
scriptable="true" fileNameField="up
Page 118 and 119:
* * Copyright (c) 2003 by Svetlin N
Page 120 and 121:
displayFileInfo(mReceivedFile, mRec
Page 122 and 123:
* and displays the verification res
Page 124 and 125:
Read all X.509 certificate files on
Page 126 and 127:
Фигура 4-7. Резултат
Page 128 and 129:
InputStream aCertStream) throws Gen
Page 130 and 131:
Create a set of trust anchors from
Page 132 and 133:
web.xml action org.apache.strut
Page 134 and 135:

Page 136 and 137:
Page 138 and 139:
на удостоверителни
Page 140 and 141:
Page 142 and 143:
тите, инсталирани в
Page 144:
14. [MSDN WinForms] MSDN Library: D
show all

Download - Svetlin Nakov

Create successful ePaper yourself

Delete template?

Save as template?