Est-il valide de signer un fichier de guerre Java et d'inclure le MANIFEST.MF dans <war root>/META-INF

Question

Je cherche à signer un fichier war pour la distribution via Java Web Start. Si je comprends bien, l'outil jar signer ignore le contenu du répertoire META-INF de sorte que le processus de signature ne change pas la valeur de résumé du fichier jar.

Est-ce que ce même processus fonctionnera pour un fichier war? Je n'ai jamais utilisé un répertoire META-INF à la racine d'un fichier war, et je ne suis pas sûr qu'il soit légal de le faire.

Même si c'est le cas, cela sera-t-il accepté par le gestionnaire de sécurité Webstart en tant que fichier correctement signé?

Merci d'avance,

Rob. Jarsigner n'ignore pas tout le répertoire META-INF.

Answer 1

Les fichiers suivants ne sont pas inclus dans la signature,

• META-INF/MANIFEST.MF
• META-INF/SIG- *
• META-INF/*. SF
• META-INF/* .DSA
• META-INF/*. RSA

Il ne sait rien sur la guerre. Si vous signez le WAR, il sera traité comme JAR et toutes les règles s'appliqueront.

Il est parfaitement légal d'avoir un META-INF à la racine de WAR. C'est là que réside context.xml. Je ne sais même pas que Web Start est compatible avec WAR. Je ne sais même pas. Il semble que vous essayez de déployer des serveurs Web à l'aide de Web Start. C'est une idée intéressante.

Answer 2

Cela ne devrait pas avoir d'importance si le serveur d'applications prend en charge les guerres ou les oreilles non signées. Tant que vous déployez l'oreille, cela fonctionnera. Si vous modifiez l'oreille d'une manière qui offense la signature, alors l'exception java.security se produira et votre oreille (ou war) ne sera pas lancée par le serveur d'application en raison de l'exception java.security.

Cela a été testé sur WebLogic 12g, mais en raison de la nature du mécanisme qui repose sur Java (pas de conteneur J2EE), je suis convaincu qu'il s'applique à tous les serveurs d'application.