Как следует отвечать на вопросы Java keystore, которые задает keytool?

Question

При создании файла хранилища ключей с помощью программы keytool Java, он задает ряд вопросов об идентичности, связанной с хранилищем ключей. К ним относятся некоторые из них, которые мне интересны, если они необходимы, для чего они используются (если что-нибудь, когда-либо), как кто-либо когда-либо их увидит/использует, и в каком контексте они должны отвечать. Например:

«Ваше имя и фамилия?» Так что я удивляюсь, например, что это значит? Если наша команда имеет ИТ-технологию, запустите эту программу для нас, должен ли он назвать его имя? Должен ли он быть менеджером нашей команды или отдела? Если мы работаем в компании, а тот, кто положил свое имя, покинул компанию, что мы должны делать?

«Как называется ваше подразделение?» Что делать, если их нет?

«Как зовут вашу организацию?» Что делать, если я просто человек, делающий программу?

«Что такое двухбуквенный код страны для этого устройства?» Какой блок? Какое влияние это имеет? Могу ли я оставить его пустым?

Кроме того, какие соглашения, права и обязанности связаны с предоставлением этой информации лицу, которому поручено? Или они просто пытаются быть полезными, если мы хотим, чтобы эта информация была связана, и мы можем оставить любой из них пустым, если они не кажутся релевантными или желательными?

Является ли ответ другим, если это мобильное приложение для Android Play Store?

Answer 1

Цель этих вопросов - предоставить информацию о вас/вашей организации лицу, использующему этот файл хранилища ключей; например, зарегистрированный пользователь Android Play Store.

Как следует отвечать на вопросы Java keystore, которые задает keytool?

В общем, вы должны честно ответить, предоставляя информацию, необходимую для этой цели.

В вашем случае, я думаю, вы подписываете свое заявление. (Поправьте меня, если я ошибаюсь ...) В этом случае цель сертификата (согласно this):

Android использует этот сертификат для идентификации автора приложения ...

так что ваших ответов должно быть достаточно, чтобы администраторы Android Platy Store и конечные пользователи Android могли идентифицировать автора с достаточной спецификой, чтобы принять решение о том, доверять ему.

(Очевидно, что при различных обстоятельствах автор может быть идентифицирован как лицо, организационное подразделение или организация. Это зависит от вас ... людей, публикующих программное обеспечение ..., чтобы сделать этот звонок. это некоторые рекомендации в документации для Android, я не мог найти его.)

---

Кроме того, что соглашения, права и обязанности, связанные с этой информацией, на лицо, назначенное?

AFAIK, нет. Однако загрузка вашего приложения, безусловно, налагает на вас определенные обязательства.

Или они просто пытаются быть полезными в случае, если мы хотим, чтобы эта информация была связана, и мы можем оставить любые из них пустыми, если они не кажутся релевантными или желательными?

Непонятно. Однако отказ от информации может заставить людей решить, что ваш сертификат ненадежен. Аналогичным образом, самозаверяющий сертификат может рассматриваться с подозрением .

---

^{1 - Например, ничто не мешает вам писать Android приложение для доступа банковского счета пользователя. И вы можете подписать приложение, заявив, что оно было опубликовано банком. Но если у сертификата нет цепочки доверия, возвращающейся в доверенный корневой центр сертификации, то пользователь должен относиться к вашему приложению с подозрением.}

Answer 2

См: http://developer.android.com/tools/publishing/app-signing.html и https://docs.oracle.com/javase/8/docs/technotes/tools/unix/keytool.html#CHDHBFGJ и (если вы действительно хотите получить в детали «субъекта») http://www.ietf.org/rfc/rfc5280.txt

Эти опции позволяют знак что-то (как ваш Android apk), и убедитесь, что ваши обновления - настоящая сделка, чтобы избежать мошенничества.

Просто введите некоторые подходящие значения и независимо от того, что происходит (люди уходят, изменения названия организации, что угодно), вы должны использовать тот же магазин ключей.