signierte Webstartanwendung: jar enthält angeblich nicht-verifizierbare Resource
Jan Torben Heuer
http://www.pace-project.org/jnlp/diki.jnlp
Seltsamerweise lässt sie sich nur unter Linux und MacOS starten unter
Windows wird eine der jars bemängelt:
> com.sun.deploy.net.JARSigningException: Signatur konnte nicht verifiziert
werden in Ressource:
http://www.pace-project.org/jnlp/lib/jjcomponents-1.0-SNAPSHOT.jar
> at com.sun.javaws.security.SigningInfo.checkSigning(Unknown Source)
> at com.sun.javaws.LaunchDownload.checkSignedResourcesHelper(Unknown
wenn ich nun diese jar herunterlade und manuell verifiziere bekomme ich:
> jarsigner.exe -verify "jjcomponents-1.0-SNAPSHOT.jar"
> jar verified.
>
> Warning:
> This jar contains entries whose signer certificate has expired.
Genau das selbe, was ich auch unter Linux bekomme, sollte also kein Problem
sein - ist ja nur eine Warnung. Aber warum meckert der Webstart?
Hat jemand eine Idee woran das liegen könnte? Ich dachte erst an
irgendwelche umlaut-problem aber das wars nicht. Ich wundere mich auch
warum es genau diese Datei ist. Der einzige Unterschied zu anderen jars in
meinem Projekt ist, dass sehr viele Resourcen (png Dateien) enthalten sind.
Danke,
Jan
Joachim Arrasz
>> Warning:
>> This jar contains entries whose signer certificate has expired.
>
> Genau das selbe, was ich auch unter Linux bekomme, sollte also kein Problem
> sein - ist ja nur eine Warnung. Aber warum meckert der Webstart?
kann es vielleicht sein, das hier dein SelfSigning im Weg ist? Nur eine
Idee, da es mal so einen Bug gab (aber ne Weile her).
Gruß Achim
Jan Torben Heuer
> kann es vielleicht sein, das hier dein SelfSigning im Weg ist? Nur eine
> Idee, da es mal so einen Bug gab (aber ne Weile her).
Also das explizit die Windowsversion einen Bug hat? Wie verifiziert der
Webstart Loader denn? Kann ich das irgendwie nachvollziehen? Schließlich
gehts ja per Hand (jarsigner -verify) ohne Probleme.
Jan
Joachim Arrasz
> Also das explizit die Windowsversion einen Bug hat? Wie verifiziert der
> Webstart Loader denn? Kann ich das irgendwie nachvollziehen? Schließlich
> gehts ja per Hand (jarsigner -verify) ohne Probleme.
ich weiss es leider nicht mehr genau, googlen kannst ja selbst ;)
Der Webstart-Loader verifiziert afaik die checksum die der signer in die
manifest schreibt?!
Gruß Achim
Stefan Rybacki
> ...
>
> Hat jemand eine Idee woran das liegen könnte? Ich dachte erst an
> irgendwelche umlaut-problem aber das wars nicht. Ich wundere mich auch
> warum es genau diese Datei ist. Der einzige Unterschied zu anderen jars in
> meinem Projekt ist, dass sehr viele Resourcen (png Dateien) enthalten sind.
>
Ich hatte mal das Problem, dass die zu importierenden Libraries nicht mit der
gleichen Signatur signiert waren. Fand ich komisch, geholfen hat aber nur, dass
signieren aller beteiligten Jars mit der gleichen Signatur.
Bis dann
Stefan
> Danke,
>
> Jan
Bernd Eckenfels
> Ich hatte mal das Problem, dass die zu importierenden Libraries nicht mit der
> gleichen Signatur signiert waren. Fand ich komisch, geholfen hat aber nur, dass
> signieren aller beteiligten Jars mit der gleichen Signatur.
Der Fall steht dann aber in der Fehlermeldung.
Gruss
Bernd
Stefan Rybacki
nen Augenblick her und die genauen Umstände waren mir entfallen.
> Gruss
> Bernd
Jan Torben Heuer
> Hi, ich habe eine webstartanwendung unter Java6 / Linux erstellt:
> http://www.pace-project.org/jnlp/diki.jnlp
>
> Seltsamerweise lässt sie sich nur unter Linux und MacOS starten unter
> Windows wird eine der jars bemängelt:
Tja, wie zu befürchten war: Der Fehler war eine resourcendatei die irgendein
UTF-8 Zeichen enthielt, welches so nicht sichtbar war. Nur eine regexp des
Verzeichnissinhalts auf nicht-latin Zeichen spuckte den Übeltäter aus. Ich
könnte k***en. Vielleicht hilft diese Info ja Anderen die
Jar-validierungsprobleme haben.
IMHO ist das aber ein Bug, jedenfalls ist mir nicht bekannt, dass Java
resourcen nur bestimmte Zeichen benutzen dürfen, insofern hätte es
zumindest eine Warnung des jarsigners geben müssen.
Jan