签署没有JRE但带有OpenSSL的JAR？

Question

我们的系统有Java和C部分。在C方面，我们使用调用OpenSSL命令的命令行脚本来签署某些数据。现在我们也想签署一些JAR。我们已经建立了PKI（对于这种情况很重要 - 私钥可以访问），“我们尝试避免将其重复/扩展到Java端。

什么是一个简单的方法让JAR签名给不想拥有JRE（但拥有OpenSSL）的人？即我想为我的JAR创建正确的MANIFEST.MF，KEY.SF和KEY.?SA。它们的格式并不复杂，这似乎可以通过一些脚本来实现。有没有人做过这个？

Answer 1

回答自己的问题。

格式MANIFEST.MF和KEY.SF是documented by Oracle。令人惊讶的是，签名KEY.?SA（其中“KEY”是签名密钥的密钥库别名）的确切内容在"Signature File" section中未详细说明。

此KEY.RSA（用于RSA签名）可以由OpenSSL命令行工具按照jarsigner创建它的方式创建。 RSA签名和SHA256摘要示例：

$ openssl smime -sign -noattr -in META-INF/TEST1.SF -outform der -out META-INF/TEST1.RSA -inkey privateKey.pem -signer cert.pem -md sha256 

类似地，可以使用OpenSSL C API生成签名。 C代码（没有错误检查）管理单元：以这种方式创建

/* PKCS7_PARTIAL flag is needed to be able to change the digest from the default value */ 
    PKCS7 *signed_data = PKCS7_sign(NULL, NULL, NULL, data, 
    PKCS7_NOATTR | PKCS7_DETACHED | PKCS7_PARTIAL 
); 

    digest = EVP_get_digestbyname("sha256"); 

    PKCS7_sign_add_signer(signed_data, signcert, pkey, digest, flags); 

    PKCS7_final(signed_data, NULL, 0); 

签名等同于什么jarsigner将产生。