我们应该在使用相同的 CSR 续订后重新部署 jar 吗？

Question

我们的 Java 代码签名证书将在一个月后到期，我们刚刚通过 Verisign 更新了该证书。我假设这足以避免我们的客户看到任何与证书相关的错误消息。

我们是否应该使用新证书再次对 jar 进行签名并将其重新部署到客户端？

提前致谢

Answer 1

是的，您需要重新签名。证书本身会告诉您它自己的到期日期，并且证书会与您的包一起部署。这是您获得的全新证书（即使颁发者经常将其称为“续订”）。

安装程序和其他验证软件通常不会使用互联网来检查证书的有效性。相反，他们将检查您的证书文件（打包到签名的 JAR 文件中）中的过期日期，并通过检查计算机的内置颁发者证书 (CA) 列表来检查证书的有效性。在此过程中唯一使用互联网的时间是下载吊销列表（在到期日期之前吊销的证书的数据库），但这通常不会实时完成，而是按计划进行。

Answer 2

与 digicert 支持团队讨论

，不，如果您在签名过程中使用了时间戳参数，则不会。

请注意在此示例中： https://www.digicert .com/code-signing/java-code-signing-guide.htm#jarsigner

-tsa http:// timestamp.digicert.com 参数

这使得您的签名在可预见的未来有效。如果您使用时间戳，则无需续订和重新签署该特定文件

您只需要续订证书即可对您创建的未来新 jar 文件进行签名

Answer 3

是的。您拥有新的签名证书，并且当前部署的版本是使用旧证书签名的，因此对于您的用户来说就像没有任何变化。

为了使新证书生效，您必须使用新证书再次签署 JAR 文件，并将新签署的文件重新部署到客户端。