从命令行启动 java 应用程序时可以防止数字签名警告吗？

Question

当您从命令行运行 Java 应用程序时，是否有任何方法可以防止出现“无法验证应用程序的数字签名”警告消息？

我正在寻找一个命令行解决方案，它允许在持续集成服务器上启动这样的应用程序，因此我需要一个不需要手动干预的解决方案。

另外，我不希望对任何应用程序禁用此警告，因为这可能会带来安全风险。

不确定是否有帮助，但我确实知道签名的“名称”、“发布者”和“来自”字段的值。

请确定，我不是在询问如何签署此应用程序。

更新 1

我认为解决方案是使用 keytool 从命令行导入证书，但由于某种原因，它确实无法正确导入它，因为在此之后它不会出现在控制面板小程序中应用程序仍然需要它。

keytool -importcert -file my.cer -alias alf2 -storepass changeme -noprompt

它是否与默认keystore相关，我如何保证我是导入到正确的密钥库？

更新2

经过在网上进行大量研究后，我取得了一些进展，至少在 Windows 7 和 Java 6 上工作：keytool -importcert -file my.cer -keystore "%USERPROFILE%\AppData\LocalLow\Sun\Java\Deployment\security\trusted.certs" -storepass "" -noprompt -v

我看起来 Sun 未能在文档中指定默认密钥库的真实位置以及默认密码为空的事实。

但这还不是结束，因为当在自动化用户帐户上运行时它失败了，它失败是因为该用户还没有密钥库，并且因为命令行工具 keytool 无法创建一个密钥库。密钥库的密码为空，要求至少 6 个字符。 查看 Sun 的论坛动态...

Answer 1

trust.certs 文件是基于用户（配置文件）的。使用 keytool 还可以将受信任的根 CA 添加到“cacert”文件，其中存储了 java 的默认受信任 CA。
XP 上的 cacert 文件位置（取决于 Java 版本）：C:\Program Files\Java\jre6\lib\security

更多详细信息：

• http://mindprod.com/jgloss/cacerts.html
• http:// support.citrix.com/article/CTX029492

默认密码是：changeit

Answer 2

有两种方法：

• 让软件供应商重新发布带有正确签名的软件。 “更多信息”链接应该告诉您为什么无法验证签名，但最可能的原因是签名是使用自签名 CA 证书或已过期的证书创建的。 （如果供应商不提供帮助，您可以使用自己的证书对 JAR 文件进行签名。）

• 将相关签名证书作为“可信证书”添加到 JVM 的证书存储中。不幸的是，您需要对每台需要运行应用程序的计算机上的每个 JVM 执行此操作。

Answer 3

如果未经用户同意而允许运行未签名的应用程序，这将严重损害用户的安全/隐私。

答案是“否”，除非您对应用程序进行了签名或者用户手动将发布者添加到“受信任”列表中。

更多信息此处

Answer 4

如果证书存储实际上不存在，不知道是否仍然是 Windows XP keytool 要求输入密码，因此您应该在导入证书之前手动创建或从某处复制存储。用户存储没有密码。

Answer 5

我认为您应该在 java.home/lib/security 中创建文件，例如 mypolicy.policy 并授予您签名的代码的所有权限，并将此文件添加到 java.security （例如，在 java.policy 路径所在的行下）此警告窗口将不再提示