Подписване на код за Microsoft Internet Explorer

Как Internet Explorer дава допълнителни правомощия на аплетите?

Най-напред трябва цифрово да подпишете архив, който съдържа Вашия аплет. Когато се зареди архива от Internet Explorer, незабавно ще попита ползвателя дали се доверява на разработилия го. Ако отговорът е да, аплетът тръгва с пълен достъп до машината на ползвателя. Ако отговорът е не, Explorer се опитва да зареди като използва отделни класове файлове; ако успее, аплетът върви с ограничителни разрешения.

Как Netscape дава допълнителни правомощия на аплетите?

Трябва да добавите код към Вашия аплет, който изисква разрешение за всякакви “опасни” действия, и след това подписва архив, съдържащ аплета. Кодът Ви трябва да използва специфични Netscape Java класове, наричани "Netscape Capabilities API"/Netscape приложения/. Когато се зареди аплетът от Navigator, той ще бъде ограничен от пясъчния часовник или ограничен комплект от разрешителни. Когато аплетът поиска разрешение да извърши “опасно действие, ползвателят ще бъде запитан дали се доверява на програмиралия го, ако отговорът е “не”, то молбата отпада (но аплетът продължава да действа), ако отговорът е “да”, тогава молбата се удовлетворява и аплетът може да използва посочената “опасна” възможност.

Как да подпиша файловете си като за потвърждаване използвам инструментите на Microsoft authenticode ? 

Файловете трябва да се хванат в .cab archive и след това да се подпишат с Microsoft Authenticode ID.

Как да подпиша файловете си като за потвърждаване използвам инструментите на Netscape ObjectSign ? 

Файловете трябва да се подпишат с Netscape Object Signing ID /като се създаде “манифест” на файловете/ и след това файловете и манифестът трябва да се обхванат в .jar archive. 

Какво ще стане, ако подпиша аплет с валиден Цифров ID /Digital ID/, който изтича междувременно?

Инструментите на Netscape няма да Ви позволят да подпишете аплет с изтекъл ID. И все пак, Navigator третира даден апелет, подписан с текущо-изтичащ ID точно като аплет подписан с все още валиден ID. Инструментите на Microsoft позволяват да приложите клеймото към архива си. Архивите, които носят клеймото и са подписани с валидни ID се считат еднакво защитени дори след изтичане на ID; архивите, които нямат клеймо или то е положено след изтичането на ID се отчитат като подозрителни.

Кои версии на браузърите се изискват за подписване на обекта /софтуера/ - ObjectSigning?

Netscape Navigator, version 4.0 и нагоре

Microsoft Internet Explorer върху Windows, version 4.0 и нагоре

Предлага ли GlobalSign изпитателни ObjectSign сертификати ?

Да, можете да използвате Globalsign Демо сертификат Клас 1.

Необходимо ли е да закупя различен ObjectSign ID за подписване на аплети за Internet Explorer и Netscape ? 

За съжаление да, съществуват технологични разлики между Microsoft Authenticode и Netscape Object Signing, така че аплетите подписани с Microsoft технология няма да бъдат разпознати под Netscape, нито пък аплетите подписани с Netscape ще бъдат разпознати от Microsoft. 

Необходимо ли е да купувам различен ID за подписване на обекти, за да подписвам аплети за Internet Explorer и Netscape?

Ако използвам браузър, който не познава GlobalSign, какви стъпки трябва да следвам, за да заредя аплет, подписан с GlobalSign ID?

В същност единственото нещо, което трябва да направи клиента, когато зарежда аплета е да се довери на публикуващия. Нормално на клиента се задава въпроса дали иска или не иска да се довери на този публикуващ. В случай че ползвателят избере отговор “да”, то тогава публикуващият го включва в своята защитена база данни, така че клиентът повече няма да отговаря на въпроси, ако зарежда аплет, подписан от същия издател. В случай че избере отговор “не”, то той ще трябва отново да иска достъп и следващ път, когато се опитва да зареди аплет, подписан от същия издател.

Създайте директория от високо ниво за подписването. 

В тази директория създайте под-директория, съдържаща всички .class файлове за Вашия аплет (ако имате няколко class файла). В под-директорията запишете копия на всички .class файлове в техните директории. Файловете от типа .class от високо ниво трябва да се намират точно в тази директория и целият пакет .class файлове трябва да се намира в под-директории с имената на пакета.

Откриите директорията на цифровата ID база данни на Navigator

За всеки потребител на браузер, Netscape поддържа директория, която съдържа различни точки, включително тази потребителска цифрова ID база данни. Ще е необходимо да специфицирате тази директория, когато използвате кодовото подписващо средство, така че средството да бъде в състояние да намери публичния и личния компоненти на Вашия ключ.
Тази директория (обикновено) е "c:\program files\netscape\users\{Вашето Име}". За да се уверите, потърсете директория, съдържаща файловете "cert7.db" и "key3.db" (които съдържат съответно Вашия публичен сертификат и личен ключ). От съображения за сигурност бихте могли да поискате да копирате тези файлове на сигурно място.

Откриите името на Вашия цифров ID

След като сте намерили цифровата ID база данни, ще Ви бъде необходимо да знаете точното име на Вашия цифров ID. За целта използвайте "signtool" за да изкарате списък на съдържанието на базата данни:
signtool -d"<DATABASE directory>" -L 

В нашия случай написахме следното:

signtool -d"c:\program files\netscape\users\support" -L 

Signtool ще отпечати списък с всички сертификати. Вашите ще притежават някакво дълго име, свързано с Вашето име и ТРЯБВА да имат "*" в ляво от тях (което показва, че са на разположение за подписване). Получихме следните резултати: 
използвайки директорията на сертификатите: c:\Program Files\Netscape\Users\support
S Сертификати
GlobalSign Primary Class 3 CA 
Verisign/RSA Commercial CA 
GlobalSign Primary Class 2 CA 
GlobalSign Partners CA 
UPS Document Exchange by DST 
Verisign Class 2 Public Primary Certification Authority - G2 
Verisign Class 3 Public Primary Certification Authority - G2 
GlobalSign Primary Class 1 CA 
BelSign Object Publishing CA 
GlobalSign Partners CAT - GlobalSign nv-sa 
GTE CyberTrust Root 2 
TC TrustCenter, Germany, Class 1 CA 
Verisign Class 3 Public Primary Certification Authority 
Verisign Class 4 Public Primary Certification Authority - G2 
GlobalSign Class 3 CA - GlobalSign nv-sa 
GlobalSign Root CA 
Personal Freemail RSA 1999.9.16 - Thawte Consulting 
Thawte Personal Premium CA 
BelSign Secure Server CA 
* GlobalSign's GlobalSign nv-sa ID 
Access America by DST 
GlobalSign Primary Object Publishing CA - GlobalSign nv-sa 
Verisign Class 2 Public Primary Certification Authority 
GlobalSign Object Publishing CA - GlobalSign nv-sa 
GlobalSign Root CAT - GlobalSign nv-sa 
Novell E-Commerce Community by DST 
Verisign Class 1 Public Primary Certification Authority - G2 
Thawte Premium Server CA 
GlobalSign Class 2 CA - GlobalSign nv-sa 
GlobalSign Class 1 CA - GlobalSign nv-sa

Сертификати, които могат да бъдат използвани за подписване на обекти имат * в ляво от тях.

Подписване на Вашите файлове

Забележка! Преди да стартирате signtool, уверете се, че Navigator е затворен.
Прехвърлете се в директорията, която съдържа директорията, съдържаща.class файловете на Вашите аплети. След това, стартирайте signtool, като изпишете следната команда:
signtool -d "c:\Program Files\Netscape\Users\support" -k "GlobalSign's GlobalSign nv-sa ID" -Z Sample.jar -c 9 sign 
Ще видите множество съобщения да се появяват на екрана. Когато това бъде извършено, нов архив с името на директорията на аплета и наставката ".jar" ще бъде създаден.

Проверка на подписания архив

Когато за първи път създавате подписан архив, Вие ще искате да го проверите. Направете това, като използвате -w опцията за signtool:
signtool -d"c:\program files\netscape\users\Support" -w Sample.jar 
Ако архивът е подписан както трябва, ще получите разпечатка на съдържанието на подписващия ID. Ако не, няма да получите такава разпечатка.

Инсталиране на подписани аплети и за Internet Explorer и за Netscape

След като веднъж сте създали както .cab (Internet Explorer), така и .jar (Netscape) архивите за даден аплет, можете да използвате и двата в един и същи HTML код; всеки браузер ще избере архива, който разбира. Използвайте кода така:
<title>My Wonderful Signed Applet</title> 
<hr> 
<applet code="MyApplet.class" ARCHIVE="MyApplet.jar" width=600 height=350> 
<param name="CABBASE" value="MyApplet.cab"> 
</applet> 
<hr>

Ресурси

* можете да използвате signtool, за да създадете Ваш собствен пробен/тестов сертификат ако желаете. 

За инструкции как да направите това, вижте страницата на Netscape Генериране на пробни сертификати за подписване на обекти /Generating Test Object-Signing Certificates/ на адрес:
http://developer.netscape.com/docs/manuals/signedobj/signtool/signcert.htm
 
Внимавайте, обаче: това ще работи само ако имате парола за Navigator.

Забележка: Global Sign също предоставя Клас 1 Демо сертификат, който можете да използвате, за да тествате Global Sign ObjectSign. За да получите безплатен клас 1 Демо сертификат
чукнете два пъти с мишката не следната връзка: http://secure.globalsign.net/en/request/user/class1demo/start.cfm

* стрaницата за зареждане на signtool на Netscape се намира на адрес: http://developer.netscape.com/software/tools/index.html?
content=/software/signedobj/jarpack.html 

Можете да намерите документация за signtool на страницата Подписване на софтуеър с подписващото средство на Netscape 1.1 на адрес: http://developer.netscape.com/docs/manuals/signedobj/signtool/index.htm

* Можете също да получите Сертификата на Global Sign за подписване на обекти (ObjectSign), като стартирате он-лайн регистрация на адрес: http://secure.globalsign.net/bg/request/professional.cfm

Създаване на директория за подписване

Създайте директория от високо ниво за подписването. В директорията създайте под-директория, съдържаща всички .class файлове за вашия аплет (ако имате няколко класове файлове). В под-директорията направете копия на всички .class файлове в техните директории. Файловете от високо ниво от типа .class трябва да се намират точно в тази директория и целия пакет .class файлове трябва да бъде разположен в под-директории с имената на пакета.

Създаване на САБ файл

Трябва да съберете всичките си файлове в “cab” файл. За да извършите това, на запитването за команда напишете следната команда:
cabarc -s 6144 N Sample.cab Sample.class 
или
cabarc -r -p -s 6144 N Sample.cab c:\Myfiles\*.*

Подписване на вашите файлове

*Като използвате запитването за команда

signcode -spc SupportObj.spc -v SupportObj.pvk -n "Support" Sample.cab 

*Като използвате Съветника по цифрови подписи

Съветникът по цифрови подписи е графичен потребителски интерфейс (GUI), осигуряващ действието на SignCode.exe. Съветникът може да бъде използван вместо запитването за команда. Съветникът по цифрови подписи осигурява следните опции:

Избор и използване на специфичен сертификат за подписването на файл

Избор и използване на специфичен личен ключ

Избор на тип на ключ

Избор на “hash” aлгоритъм за подписа

Добавяне на печат за време към подписания файл

Съветникът по цифрови подписи е CryptoAPI инструмент, наличен в Internet Explorer 5.0 и Microsoft® Windows NT® версия 4.0 SP4 или по-късна версия. Съветникът може да бъде стартиран чрез извикване на SignCode.exe услугата без опции от подсказването за команда.

Проверяване на подписания архив

След като за първи път сте създали подписан архив, Вие ще поиската да го проверите. Напарвете го, като използвате chktrust:

chktrust SimpleEdit.cab Ако архивът е подписан правилно, ще се появи диалогова кутия “Security Warning”, и ще Ви попита дали искате да инсталирате и работите с “Super Duper Applet”, който е подписан от Вас (подписа е проверен от Вашия СА). Ако не, няма да получите.

Инсталиране на подписания архив

Въведете подписания .cab архив в директорията на уеб сървъра, съдържаща основния клас на Вашия аплет. Променете .html файла, който се обръща към аплета, така че да се посочва архива:

<title>GlobalSign Signed Applet</title>
<hr>
<applet code="Sample.class" ARCHIVE="Sample.jar" width=600 height=350>
<param name="CABBASE" value="Sample.cab">
</applet>
<hr>

Забележка: Ако Ви е необходимо да имате аплет с множетсво .cab архиви, можете да използвате  CABINETS параметъра на аплет :

<param name="CABINETS" value="MyApplet.cab,MyApplet2.cab">

Инсталиране на подписани аплети и за Internet Explorer и за Netscape

След като веднъж сте създали както .cab (Internet Explorer), така и .jar (Netscape) архивите за даден аплет, можете да използвате и двата в един и същи HTML код; всеки браузер ще избере архива, който разбира. Използвайте кода така:
<title>My Wonderful Signed Applet</title> 
<hr> 
<applet code="MyApplet.class" ARCHIVE="MyApplet.jar" width=600 height=350> 
<param name="CABBASE" value="MyApplet.cab"> 
</applet> 
<hr>

Ресурси

* можете да получите своя  GlobalSign ObjectSign Сертификат, като стартирате он-лайн регистрация на адрес http://secure.globalsign.net/bg/request/professional.cfm

* заредете IE4 MS authenticode
http://msdn.microsoft.com/downloads/tools/authcodeie4/authcodeie4.asp 

заредете IE5 MS authenticode http://msdn.microsoft.com/downloads/tools/authenticode/authcode.asp

заредете IE4 DEC Alpha http://msdn.microsoft.com/downloads/tools/authcodeie4alpha/
authcodeie4alpha.asp

заредете IE5 DEC Alpha http://msdn.microsoft.com/downloads/tools/authcodealpha/authcodealpha.asp