«Параметры безопасности заблокировали самоподписанное запуск приложения» с реальным PFX подписал банку

Question

я на самом деле jarsign в Java-апплет с помощью этой команды:

jarsigner -storetype pkcs12 -keystore my_real_certificate.pfx my_applet.jar my_alias_certificate -storepass my_password 

Когда я запускаю мой апплет, я получаю следующее ошибка:

Ваши настройки безопасности заблокировали самоподписанное запуск приложения

Когда я хочу, чтобы проверить банку, результат выглядит как Ф.О. llowing:

jar проверено.

Предупреждение: В этой банке содержатся записи, которые подписывают сертификат подписчика ExtendedKeyUsage, не допускающий подписи кода. Этот контейнер содержит записи, цепочка сертификатов которых не проверена. Этот фляга содержит подписи, не содержащие метку времени. Без отметки пользователь может подтвердить это несоответствие после Срок действия сертификата подписчика (2017-05-22) или после любого будущего дата отзыва.

Для этого предупреждения:

Эта баночка содержит записи, чьи подписавшего расширение ExtendedKeyUsage сертификата не позволяет код подписания

Я предполагаю, что мой сертификат не является правильным для jarsigning кода. Не могли бы вы сказать мне, может ли такое предупреждение вызвать у меня такую ​​ошибку на клиенте? Или я могу использовать этот сертификат?

Для этого предупреждения:

Эта баночка содержит записи, чьи цепочки сертификатов не проверяется.

Я не понимаю, потому что мой сертификат был действительно подтвержден CA (Thawte). Должен ли я указывать на Java или в моем диспетчере сертификатов Windows полную цепочку сертификатов (с CA Root и промежуточным)? Если да, то что происходит для пользователей этого апплета? Должны ли они это делать?

Заранее благодарим за ответы.

Answer 1

Я полагаю, что мой сертификат не подходит для кодирования кода.

Исправить.

Не могли бы вы сказать мне, может ли такое предупреждение вызвать у меня такую ​​ошибку на клиенте?

Да.

Или я могу использовать этот сертификат?

Не для подписания кода. (Это может быть справедливо и для других целей.)

Я не понимаю, потому что мой сертификат действительно подтвержден CA (Thawte).

Это не проблема.

Должен ли я указывать на Java или в моем диспетчере сертификатов Windows полную цепочку сертификатов (с корнем CA и промежуточным звеном)?

Я не думаю, что это сработало. И даже если бы это было ...

Если да, то что происходит для пользователей этого апплета?

Они все равно найдут, что JAR, который не будет работать >> для них < <.

Должны ли они также это делать?

Плохая идея. Вы эффективно говорите им, чтобы они поставили под угрозу их безопасность для запуска вашего программного обеспечения ... потому что вы не использовали действительный ключ подписи JAR.