Code Signing med Jsign
Jsign er et gratis, open source, Java-baseret signeringsværktøj. Det er den ultimative schweizerkniv til code signing: understøtter USB-tokens (PKCS#11), Azure Key Vault, Google Cloud KMS, AWS KMS og lokale keystores. Kører på Windows, Linux og macOS.
Jsign er det eneste signeringsværktøj, der understøtter alle store cloud HSM-udbydere i ét værktøj. Perfekt til CI/CD-pipelines, hvor du vil have ét værktøj, der virker uanset key store.
Hvad er Jsign?
Jsign er et open source-projekt (Apache 2.0-licens), vedligeholdt på GitHub. Det er skrevet i Java og kræver Java 8 eller nyere (OpenJDK anbefales).
Jsign understøtter Authenticode-signering af Windows-filer (.exe, .dll, .msi, .msix, .cab, .ps1), Java-artefakter (.jar, .war, .ear) og flere andre formater. Det er det mest alsidige signeringsværktøj, der findes.
Understøttede key stores
USB-token (PKCS#11)
SafeNet eToken, YubiKey, Thales Luna. Kræver PKCS#11-driver installeret lokalt.
Azure Key Vault
Via Azure SDK. Autentificering med service principal eller managed identity.
Google Cloud KMS
Via GCP SDK. Autentificering med service account.
AWS KMS
Via AWS SDK. Autentificering med IAM credentials eller instance role.
Lokal keystore
PKCS#12 (.pfx/.p12), JKS, Windows certificate store.
Installation
Download JAR: Hent den seneste version fra Jsign GitHub Releases ↗ og kør direkte:
java -jar jsign.jar sign --help
Maven/Gradle: Jsign kan også bruges som dependency i dit build-system for automatisk signering som del af din build-pipeline.
Kræver Java 8 eller nyere. OpenJDK anbefales. Download fra adoptium.net ↗.
Eksempler på signering
USB-token (PKCS#11)
jsign --storetype PKCS11 \ --storepass "your-pin" \ --alias "your-cert" \ --tsaurl http://timestamp.digicert.com \ MyApp.exe
Azure Key Vault
jsign --storetype AZUREKEYVAULT \ --storepass "client-secret" \ --keystore "your-vault" \ --alias "cert-name" \ --tsaurl http://timestamp.digicert.com \ MyApp.exe
Google Cloud KMS
jsign --storetype GOOGLECLOUD \ --keystore "projects/my-project/locations/global/keyRings/my-ring" \ --alias "my-key" \ --certfile cert.pem \ --tsaurl http://timestamp.digicert.com \ MyApp.exe
AWS KMS
jsign --storetype AWS \ --keystore "us-east-1" \ --alias "alias/my-key" \ --certfile cert.pem \ --tsaurl http://timestamp.digicert.com \ MyApp.exe
Jsign vs signtool.exe vs AzureSignTool
| Jsign | signtool.exe | AzureSignTool | |
|---|---|---|---|
| Platform | Windows, Linux, macOS | Kun Windows | Windows, Linux, macOS (.NET) |
| Key stores | USB-token, Azure KV, Google KMS, AWS KMS, lokal | USB-token, lokal keystore | Kun Azure Key Vault |
| Afhængighed | Java 8+ | Ingen (del af Windows SDK) | .NET Runtime |
| Licens | Open source (Apache 2.0) | Microsoft (proprietær) | Open source (MIT) |
| Java-artefakter | Ja (.jar, .war, .ear) | Nej | Nej |
Understøttede filtyper
Relaterede signeringsværktøjer: SignTool / AzureSignTool | Jsign | Sammenlign alle →
Code Signing-certifikater til Jsign
OV Code Signing
DigiCert CodeSign OV
DigiCert OV Code Signing. Virker med Jsign og alle key stores.
GlobalSign CodeSign
GlobalSign OV Code Signing. Virker med Jsign og alle key stores.
EV Code Signing
Ofte stillede spørgsmål om Jsign Code Signing
Find svar på de mest almindelige spørgsmål om SSL certifikater og FairSSL.
--tsaurl med en RFC 3161 timestamp-server (fx http://timestamp.digicert.com).Klar til at signere med Jsign?
Opret en gratis konto og udsted dit første certifikat på under 10 minutter.