[USBトークンを使用する場合]Object signing用 Javaコードへの署名方法

こちらではOracle JDKのjarsignerを利用して、Javaコードへ署名を行う手順をご紹介いたします。

※弊社では以下の手順にて動作検証をおこなった際の一例をご紹介しており、動作を保証するものではございません。本手順について内容の変更等や誤りがあった場合、弊社では一切の責任を負いかねることを予めご了承ください。詳細は各ツールのドキュメント等をご参照ください。
※アプリケーション提供元にてサポートが終了している場合、正常に動作しない可能性があります。

動画でも署名方法についてご案内しております。

コードサイニング証明書（EVコードサイニング証明書）をご利用の場合は、以下のタイムスタンプをご利用いただくようご案内しております。

こちらのタイムスタンプにて署名を行うためには、JDK(jarsigner)8u101以降のバージョンが必要となります。
上記バージョン未満のJDK(jarsigner)をご利用の場合は、Oracle社ページより最新のJDKをご用意ください。

※JDK7以前のバージョンで署名を行う場合、64bit版のWindowsをご利用の場合であっても、32bitのJDKを使用する必要がございます。

1. コマンドプロンプトを実行します。

2. JAVA JDKのbinフォルダに移動します。
   例えば以下のようなディレクトリとなりますが、環境に応じて適宜読み替えてください。

   cd C:¥Program Files¥Java¥jdk1.8.0_111¥bin

3. トークンのslotを確認するため、以下のコマンドを実行します。

   keytool -keystore NONE -storetype PKCS11 -list -J-Djava.security.debug=sunpkcs11

4. JDKがUSBトークンにアクセスできるようにするために、設定ファイル「eToken.cfg」を作成します。設定ファイルには下記の3行を記載します。
   ※文字コードは「ANSI」をご使用ください。
   ※グローバルサインより送付される、基準に準拠したUSBトークンの利用を前提としています。

   name=eToken
   library=c:¥Windows¥System32¥eTPKCS11.dll
   slot=0~7

   コマンド実行結果（一部抜粋）

   keytool -keystore NONE -storetype PKCS11 -list -J-Djava.security.debug=sunpkcs11
   sunpkcs11: SunPKCS11 loading C:/Program Files/Java/jdk-19/bin/eToken.cfg
   sunpkcs11: Initializing PKCS#11 library C:/Windows/System32/eTPKCS11.dll
   Information for provider SunPKCS11-eToken
   Library info:
   cryptokiVersion: 2.20
   manufacturerID: SafeNet, Inc.
   flags: 0
   libraryDescription: SafeNet eToken PKCS#11
   libraryVersion: 10.08
   All slots: 0, 1, 2, 3, 4, 5, 6, 7
   Slots with tokens: 3
   Slot info for slot 3:

   ※「Slots with tokens:」は「0」がデフォルトですが、ご利用の端末によっては「0」以外の値になることがあります。

   上のコマンドで得られた「Slots with tokens:」の値を使って、作成済みのetoken.cfgファイルに「Slot」情報を追加します。

5. 設定ファイル「eToken.cfg」をJDKのbinフォルダに保存します。
   例えば以下のようなディレクトリとなりますが、環境に応じて適宜読み替えてください。

   C:¥Program Files¥Java¥jdk1.8.0_111¥bin

6. 署名にトークンを使用するためには、秘密鍵のエイリアスを見つける必要があります。
   エイリアスを特定することで、署名時に適切な証明書を参照することができます。
   binフォルダから、以下のコマンドを実行します。

   keytool -list -keystore NONE -storetype PKCS11 -providerclass sun.security.pkcs11.SunPKCS11 -providerArg eToken.cfg

7. 次の署名コマンドで使用するため、秘密鍵のエイリアス（下記例では、le-86a6d828-7504-4895-a85e-bc9d56187f0c）をコピーしておきます。

   

8. .jarファイルに署名します。
   JAVA SDKのbinディレクトリ（C:\Program Files\Java\jdk1.8.0_111\bin）にて、以下の署名コマンドを実行します。(赤字の部分は適宜読み替えてください。)

   署名コマンド例
   jarsigner -tsa タイムスタンプのURL^※ -verbose -keystore NONE -storetype PKCS11 -providerClass sun.security.pkcs11.SunPKCS11 -providerArg ./eToken.cfg sample.jar "le-86a6d828-7504-4895-a85e-bc9d56187f0c"

   タイムスタンプURLについて(R6ルート用)

   コードサイニング証明書（EVコードサイニング証明書）をご利用の場合は、別途タイムスタンプを付与可能です。タイムスタンプの詳細につきましては、下記の表をご参照ください。

   タイムスタンプURL	http://timestamp.globalsign.com/tsa/r6advanced1
   ルート搭載環境 （署名検証可能環境）	JDK12以降
   有効期限	署名時から最低10年以上
   署名ハッシュアルゴリズム	SHA384

9. 以上で署名は完了です。正常に署名が完了すると以下のようになります。

   

署名を検証する場合は、以下のコマンドを実行します。

jarsigner -verify -verbose -certs FileUploadApplet.jar