Nos certificats de signature de code Java expire dans un mois et nous venons de le renouveler avec Verisign. Je supposais que cela serait suffisant pour éviter que nos clients ne voient des messages d'erreur liés au certificat.Devrions-nous redéployer des pots après avoir renouvelé avec le même CSR?
Devrions-nous signer à nouveau les bocaux avec le nouveau certificat et le redéployer aux clients? Merci d'avance
Oui, vous devez les signer à nouveau. Le certificat lui-même indique sa propre date d'expiration et le certificat est déployé avec votre package. C'est un certificat entièrement nouveau que vous avez (même si les émetteurs l'appellent souvent un «renouvellement»).
Les installateurs et autres logiciels de vérification n'utilisent généralement pas Internet pour vérifier la validité du certificat. Au lieu de cela, ils vérifieront la date d'expiration dans votre fichier de certificat (qui est compressé dans le fichier JAR signé) et vérifieront la validité du certificat en comparant la liste intégrée des certificats de l'émetteur (CA) des ordinateurs de calcul. Le seul moment où Internet est utilisé dans ce processus est de télécharger une liste de révocation - une base de données de certificats révoqués avant leur date d'expiration - mais cela ne sera généralement pas fait en temps réel, mais de manière planifiée.
Oui. Vous avez de nouveaux certificats de signature, et les versions actuellement déployées sont signées avec l'ancien certificat, donc rien ne change pour vos utilisateurs.
Pour que votre nouveau certificat soit pris en compte, vous devez à nouveau signer vos fichiers JAR avec le nouveau certificat et redéployer les nouveaux fichiers signés sur les clients.
Comme discuté avec l'équipe de soutien DigiCert
Non, pas si vous avez utilisé le paramètre d'horodatage dans le processus de signature.
Avis dans cet exemple ici: https://www.digicert.com/code-signing/java-code-signing-guide.htm#jarsigner
Le paramètre -tsa http://timestamp.digicert.com
Cela fait en sorte que votre signature est valable pour un avenir prévisible. Vous n'avez pas besoin de renouveler et de démissionner ce fichier spécifique si vous avez utilisé l'horodatage
Vous ne devez renouveler votre certificat pour signer les futurs nouveaux fichiers jar vous créez