In der software Lieferkette hilft das Signieren und Verifizieren von Code, bösartigen Code von Ihrer Umgebung fernzuhalten. Ab SignServer Community Release 5.10 können Sie Java-Archive, JAR-Dateien, digital signieren.
Das digitale Signieren von Code dient demselben Zweck wie das Unterschreiben eines Papierdokuments in der physischen Welt: Es beweist, dass Sie das Dokument oder den Anwendungscode geschrieben haben und dass der Inhalt seit Ihrer Unterschrift nicht geändert wurde.
Verwendung von SignServer für die JAR-Signierung und mehr
Die serverseitige Signatur software SignServer signiert JAR-Dateien mit einem privaten Schlüssel, der in einem HSM oder in einer sicheren Datei gespeichert ist. Der öffentliche Schlüssel und das Zertifikat sind in der JAR-Datei enthalten, so dass jeder die Signatur überprüfen kann. Die Zeitstempelung ist ebenfalls eine Option. So wie ein Datum auf einem Papierdokument angebracht ist, gibt ein Zeitstempel an, wann die JAR-Datei signiert wurde. Anhand des Zeitstempels können Sie überprüfen, ob das zum Signieren der JAR-Datei verwendete Zertifikat zum Zeitpunkt des Signierens gültig war.
Die JAR-Signierung wird in SignServer Community ab Version 5.10 unterstützt. Weitere Informationen finden Sie in den Versionshinweisen.
SignServer basiert auf open source und ermöglicht nicht nur das Signieren von JAR-Dateien, sondern auch von mehr als 20 anderen Signaturformaten für Code Signing, Document Signing und Timestamping. Ein HSM wird immer empfohlen, um Signaturschlüssel sicher und konform zu speichern, und SignServer unterstützt mehrere HSMs verschiedener Hersteller.
Mit SignServer erhalten Sie eine zentrale Plattform zur Verwaltung all Ihrer Signaturdienste, eine konsistente Sicherheitsdurchsetzung und eine kosteneffiziente Schlüsselsicherheit. SignServer kann zudem auf vielfältige Weise in Ihre Standardprozesse integriert werden.
Erste Schritte mit der JAR-Signierung
Möchten Sie das JAR-Signieren noch heute mit SignServer ausprobieren? Hier erfahren Sie, wie Sie loslegen können:
- Laden Sie die SignServer Community herunter und installieren Sie sie, siehe SignServer installieren.
- Konfigurieren Sie die SignServer JAR-Signierer. Dann können Sie eine JAR-Datei signieren und die Signatur überprüfen. Siehe Code Signing mit JAR-Signaturen.
