[USBトークンを使用する場合]Object signing用 Javaコードへの署名方法

  1. GMOグローバルサインサポート
  2. コードサイニング証明書サポート情報
  3. コードサイニング証明書設定
  4. [USBトークンを使用する場合]Object signing用 Javaコードへの署名方法
最終更新:2024年02月08日

こちらではOracle JDKのjarsignerを利用して、Javaコードへ署名を行う手順をご紹介いたします。

※弊社では以下の手順にて動作検証をおこなった際の一例をご紹介しており、動作を保証するものではございません。本手順について内容の変更等や誤りがあった場合、弊社では一切の責任を負いかねることを予めご了承ください。詳細は各ツールのドキュメント等をご参照ください。
※アプリケーション提供元にてサポートが終了している場合、正常に動作しない可能性があります。

 

動画でも署名方法についてご案内しております。

署名ハッシュアルゴリズムSHA256のコードサイニング証明書をご利用の場合は、以下のタイムスタンプをご利用いただくようご案内しております。

R3ルート用 http://timestamp.globalsign.com/tsa/advanced
R6ルート用 http://timestamp.globalsign.com/tsa/r6advanced1

こちらのタイムスタンプにて署名を行うためには、JDK(jarsigner)8u101以降のバージョンが必要となります。
上記バージョン未満のJDK(jarsigner)をご利用の場合は、Oracle社ページより最新のJDKをご用意ください。

※JDK7以前のバージョンで署名を行う場合、64bit版のWindowsをご利用の場合であっても、32bitのJDKを使用する必要がございます。

no01.gif コマンドプロンプトを実行します。

no02.gifJAVA JDKのbinフォルダに移動します。
例えば以下のようなディレクトリとなりますが、環境に応じて適宜読み替えてください。

cd C:¥Program Files¥Java¥jdk1.8.0_111¥bin

トークンのslotを確認するため、以下のコマンドを実行します。

keytool -keystore NONE -storetype PKCS11 -list -J-Djava.security.debug=sunpkcs11

JDKがUSBトークンにアクセスできるようにするために、設定ファイル「eToken.cfg」を作成します。設定ファイルには下記の3行を記載します。
※文字コードは「ANSI」をご使用ください。
※グローバルサインより送付される、基準に準拠したUSBトークンの利用を前提としています。

name=eToken
library=c:¥Windows¥System32¥eTPKCS11.dll
slot=0~7

コマンド実行結果(一部抜粋)

keytool -keystore NONE -storetype PKCS11 -list -J-Djava.security.debug=sunpkcs11
sunpkcs11: SunPKCS11 loading C:/Program Files/Java/jdk-19/bin/eToken.cfg
sunpkcs11: Initializing PKCS#11 library C:/Windows/System32/eTPKCS11.dll
Information for provider SunPKCS11-eToken
Library info:
cryptokiVersion: 2.20
manufacturerID: SafeNet, Inc.
flags: 0
libraryDescription: SafeNet eToken PKCS#11
libraryVersion: 10.08
All slots: 0, 1, 2, 3, 4, 5, 6, 7
Slots with tokens: 3
Slot info for slot 3:

※「Slots with tokens:」は「0」がデフォルトですが、ご利用の端末によっては「0」以外の値になることがあります。

上のコマンドで得られた「Slots with tokens:」の値を使って、作成済みのetoken.cfgファイルに「Slot」情報を追加します。

no05.gif設定ファイル「eToken.cfg」をJDKのbinフォルダに保存します。
例えば以下のようなディレクトリとなりますが、環境に応じて適宜読み替えてください。

C:¥Program Files¥Java¥jdk1.8.0_111¥bin

no05.gif署名にトークンを使用するためには、秘密鍵のエイリアスを見つける必要があります。
エイリアスを特定することで、署名時に適切な証明書を参照することができます。
binフォルダから、以下のコマンドを実行します。

keytool -list -keystore NONE -storetype PKCS11 -providerclass sun.security.pkcs11.SunPKCS11 -providerArg eToken.cfg

no06.gif次の署名コマンドで使用するため、秘密鍵のエイリアス(下記例では、le-86a6d828-7504-4895-a85e-bc9d56187f0c)をコピーしておきます。

no07.gif.jarファイルに署名します。
JAVA SDKのbinディレクトリ(C:\Program Files\Java\jdk1.8.0_111\bin)にて、以下の署名コマンドを実行します。(赤字の部分は適宜読み替えてください。)

署名コマンド例
jarsigner -tsa タイムスタンプのURL -verbose -keystore NONE -storetype PKCS11 -providerClass sun.security.pkcs11.SunPKCS11 -providerArg ./eToken.cfg sample.jar "le-86a6d828-7504-4895-a85e-bc9d56187f0c"

タイムスタンプURLについて

署名ハッシュアルゴリズムSHA256のコードサイニング証明書(EVコードサイニング証明書)をご利用の場合は、タイムスタンプを「R3ルート用」と「R6ルート用」の2種類よりお選びいただけます。 R3ルート用とR6ルート用は、ルート搭載率(検証可能な環境)・有効期限・署名ハッシュアルゴリズム等に違いがあります。

ご利用の環境に応じて、いずれかのタイムスタンプをご利用ください。それぞれのタイムスタンプの詳細につきましては、下記の表をご参照ください。

R3ルート用タイムスタンプ

タイムスタンプURLhttp://timestamp.globalsign.com/tsa/advanced
ルート搭載環境
(署名検証可能環境)
JDK 8以降
有効期限2029/3/18
署名ハッシュアルゴリズムSHA256

R6ルート用タイムスタンプ

タイムスタンプURLhttp://timestamp.globalsign.com/tsa/r6advanced1
ルート搭載環境
(署名検証可能環境)
JDK12以降
有効期限2030/7/5
署名ハッシュアルゴリズムSHA384

no08.gif以上で署名は完了です。正常に署名が完了すると以下のようになります。

署名を検証する場合は、以下のコマンドを実行します。

jarsigner -verify -verbose -certs FileUploadApplet.jar

お気軽にお問い合わせください

音声ガイダンスが流れましたら、お問合わせの内容により以下の番号をプッシュしてください。

  1. 証明書のお申し込み、更新及びパスワードのお問い合わせ
  2. インストールなどの技術的なお問い合わせ
  3. 審査及び進捗確認に関するお問い合わせ
  4. お支払い、経理書類に関するお問い合わせ
  5. その他のお問い合わせ(5を押した上で、以下の番号をお選びください。)
    1. パートナー契約に関するお問い合わせ
    2. 採用に関するお問い合わせ
    3. 総務へのご連絡