code sign CA kéne nekem

Java

J2ME platformra kérnék tapasztalatot code sign CA kiállítóval kapcsolatban.

NetBeansen készölő J2ME (MIDP-2.0 és CLDC-1.1) alkalmazást kéne aláírni.

Symbian S60 platformon Nokia E51-re települő midlet aláírás nélkül tökéletesen megy, csupán csak API Premissions beállítások nem jutnak érvényre. Régebben Verisign CA-t használtam, de valami változott a CA megújítás alkalmával, és most érvénytelen tanusítványnak ismeri fel a CA-t a telefon, és megszakad a telepítés. Így egyrészről a CA-t sem tudom külön telepíteni egyszerűen (csak trükközve), amit normál felhasználók nem fognak megoldani maguktól; másrészt az MIDLET jogosultságai csak a klasszikus "homokozóban bármit csinálhatsz, minden máshoz a felhasználó jováhagyása kell" premission van érvényben.

Szóval tud valaki javasolni code sign CA kiállítót akit a telefonok elfogadnak? Nem lenne hátrány ha EU-s lenne.

  • 2308 megtekintés

( uid_16401 | 2008. 07. 15., k – 15:02 )

Senkinek nem kell aláírnia a programjait?

( uid_16401 | 2008. 07. 16., sze – 13:55 )

Esetleg a globalsign.com -al van valami tapasztalat?

Másik kérdés akinek van Code Signing Certificate-je, az hajlandó lenne némi tesztelgetésbe belemenni a következő formában: Küldök egy HelloWord.jar fájlt, amit alá kéne írni aztán megnéznézném, hogy miként működik S60, S40 és más palatformokon?

( hg2ebh | 2008. 07. 16., sze – 15:46 )

Kolléga most nyitotta meg a Nokia E51 telójával a Netlock által aláírt SSL tanúsítvánnyal rendelkező weboldalunkat, működött, nem zörgött semmit a teló...
Máshonnan szedné az E51 a java alkalmazások ellenőrzéséhez a CA infót?

Ok, már csak a JAVA a kérdéses a Netlocknál...

De a kollégám szerint az sem lesz jó, mert minősített tanusítványt adnak a Netlocknál, kódkártyával+kártyaolvasóval amit nem tudom hogy tudnék beimportálni a netbeansbe; a parancssoros aláírást meg már nem is említem meg. Szóval így látatlanban az nem lesz jó... Nekem egy PKCS kéne.

Derítsd ki, hogy az adott usb tokent/smart card-ot támogatja-e az opensc (könnyen lehet, hogy igen). Ha igen, akkor az opensc által biztosított pkcs11 driveren (/usr/lib/opensc-pkcs11.so) keresztül már tudsz aláírni java-ból a SunPKCS11Provider-rel. A netbeans-t nem ismerem, de talán rá lehet beszélni hogy egy adott provider-t használjon egy adott konfiggal.

( kisg v | 2008. 07. 17., cs – 07:57 )

Meg kell nézned a telefonban, hogy milyen tanúsítványok vannak benne, illetve, hogy melyik tanúsítványt fogadja el code signra. (Van amelyiket csak ssl kommunikációhoz lehet használni.)

Sajnos a használható tanúsítványok telefononként, mobilszolgáltatónként (ha mondjuk T-Mobile-os vagy Vodafone-os a telefon), akár országonként változhatnak.

A helyetekben a Thawte-t nézném meg (először a telefonban). Megvette őket a Verisign de olcsóbbak. Series60 és Series40-es telefonnal is működött nekem.

Ezen kívül a mobilgyártók meg a Sun nagyon nyomják az "Unified Testing Initiative" nevű dolgot: http://www.javaverified.com/.
Lehet, hogy bizonyos újabb telefonok már csak ezt fogják támogatni, bár én ilyet még nem láttam. Ez úgy működik, hogy elküldöd a programod binárisát egy hitelesített tesztszolgáltatónak, aki egy szerény de nem sértő összegért cserébe leteszteli a programodat egy szabványos tesztsuite-tal. Ha átmegy, akkor _egy_adott_telefonhoz_ aláírja. Ha több telefonhoz akarod aláiratni, akkor az persze több pénz. Ha nem mész át elsőre, akkor újra kell fizetni a tesztelésért. Ha bármit módosítasz a programodon (új verzió), akkor megint újra kell tesztelned és fizetned.
Cserébe viszont a régebbi telefonokban az így aláírt appok nem biztos, hogy működnek, mert nincs bennük a tanúsítvány.

Néhány régebbi telefonban, illetve megadott szoftververziónál tudtál te belerakni olyan certificate-et, ami nem csak ssl kommunikációra de code signra is megy. Újabb telefonokban / szoftverekben sajnos ez a lehetőség már le van tiltva.

Miután mindez megvan, még mindig csak "Identified Third Party" leszel, ami megint változó telefononként (és akár szolgáltatónként), hogy mit jelent.

Ha amit kapsz így nem megfelelő, akkor két irány van:
- Mész a gyártókhoz és fizetsz sok pénzt, hogy ők írják alá.
- Mész a szolgáltatókhoz és fizetsz sok pénzt, hogy ők írják alá.

Üdv,
Gergely

...Sun nagyon nyomják az "Unified Testing Initiative" nevű dolgot...

Ezt ismerem. Az ára viszont ~450 euro körül van amit minden egyes aláírás után ki kell fizetni. Ha változtatok a programban bármit, vagy akár csak egy ikont kicserélek akkor ismét alá kell íratni. Tehát ezt a megoldást alapból vetettük el...

A szolgáltatókkal aláíratni appot megint csak kétélű dolog mert ugyan a hálózatfüggő készülékek problémája megoldódik de pl. az a T-mobile-os előfizető akinek hálózatfüggetlen a készüléke nem fogja tudni elfogadtatni a certet. És akkor még nem beszéltem a PDA-król, amik nagyrésze ugye hálózatfüggetlen.

Szepen latszik, hogy milyen lenne a "trusted computing" a kis/kozepvallalatok ill a free software szamara... ES az innovacio szamara is. Mivel a mobil"telefon" egyre fontosabb platform, a jovo tunhet sotetnek, de szerencsere ott a freerunner stb.
Majd ha a tobbsegnek a telefon lesz a szamitogepe es elunjak, hogy evente ujat kell venni, hogy az unalomig ismert, gagyi programok evente egyszer megjeleno hibajavitasat hasznalni tudja, korulnez...

( uid_16401 | 2008. 07. 29., k – 16:30 )

Nos elhatároztam a Thawte Code Sing cert beszerzését, viszont kérnek egy halom céges papírt ellenőrzésre. A céges papírokat még be is szereztem a vezetőségtől, de gondolom mindezt hiteles forrásban kéne elküldeni Svájcba.

Van valami angol nyelvű cégadatbázis a magyar cégekről, ami hiteles kormányzati vagy bírósági adatbázis, és benne van a cím, név, rövidített név stb. amit le tudnak ellenőrizni? Nem hiszem hogy mindent fordítani kell, és online ezek nem érhetőek el idegen nyelven is.

Csinált már valaki már hasonlót: minősített tanusítvány igénylést külföldi cégtől?