4
我注意到,在keytool文檔中,它讀取的內容是 「jarsigner [...]檢查該證書的公鑰是否爲'trusted',即包含在指定的密鑰庫中。 而jarsigner聯機幫助頁 「驗證[...]」時不需要密鑰庫,並且該實用程序將始終驗證該jar隨附的證書。 在我看來這樣做會有失敗的目的,因爲它只會證明罐子自簽署以來沒有改變,但並不是它由某個特定權威/供應商簽署。只使用可信任證書進行jarsigner驗證?
如果在運行時系統上用於簽署jar的證書未知/可信,有什麼辦法可以使驗證失敗嗎? 還是必須使用腳本才能調用 jarsigner -verify -verbose -keystore ... 並解析輸出以查看本地(運行時)密鑰庫中是否有簽名證書條目?
困惑, 彼得