air 數字簽名

Adobe AIR 代碼簽名證書及簽名指南

 

http://www.wosign.com/Support/Adobe_AIR_Signing_guide.htm

Adobe AIR 代碼簽名證書( WoSign Code Signing Certificate for Adobe AIR )使得軟件開發者能對其使用Aobe AIR技術開發的軟件代碼(HTML、XML、Flash、Flex、Ajar等)進行數字簽名，讓其用戶通過網絡平臺( 互聯網或內部網 )下載時能確信此代碼沒有被非法篡改和來源可信，從而保護了代碼的完整性、保護了用戶不會被病毒、惡意代碼和間諜軟件所侵害，當然也就保護了軟件開發商的利益，使得軟件開發商能安全地快速地通過網絡發佈軟件。爲了保護軟件開發商和最終用戶的利益，Adobe AIR 軟件數字簽名是強制要求。

本使用指南根據Adobe網站有關文檔翻譯整理，請同時參考如下原文：
    (1) Adobe AIR 入門
    (2) Packaging an AIR installation file using the AIR Developer Tool (ADT)
    (3) Digitally signing Adobe AIR applications

    請注意：以上文檔要求用FireFox火狐瀏覽器申請Adobe AIR 代碼簽名證書，比較複雜。WoSign充分了解廣大用戶已經非常熟悉 WoSign 微軟代碼簽名證書 的申請和使用，所以，我們的《Adobe AIR 代碼簽名證書申請指南》完全是同微軟代碼簽名證書一樣的方式使用IE瀏覽器申請證書，因爲 Adobe AIR 數字簽名同時支持 Java keystore file (.keystore) 和 PKCS12 file (.p12 or .pfx) 等證書格式。 本指南基於IE瀏覽器申請的PFX格式證書來簽名AIR文件。

1.簽名工具下載和安裝

    請確保您已經 下載 Adobe AIR 和 下載免費的 Adobe AIR SDK ，同時，也要確保您的電腦上已經下載和安裝SUN Java 6 JDK，簽名工具需要Java支持。請注意：用戶使用環境只需要下載和安裝 Adobe AIR 即可，不要搞混淆了。

2. Adobe AIR 爲什麼要數字簽名？使用Adobe AIR 代碼簽名證書 簽名和使用自簽證書籤名有什麼不同？

    應用軟件數字簽名就是讓用戶通過網絡平臺( 互聯網或內部網 )下載時能確信此代碼沒有被非法篡改和來源可信，從而保護了代碼的完整性、保護了用戶不會被病毒、惡意代碼和間諜軟件所侵害，當然也就保護了軟件開發商的利益，使得軟件開發商能安全地快速地通過網絡發佈軟件。爲了保護軟件開發商和最終用戶的利益， Adobe AIR 軟件數字簽名是強制要求的。

    由於Adobe AIR 軟件數字簽名是強制性的，爲了方便軟件開發者在沒有購買證書之前能先嚐試數字簽名的效果和好處，並方便測試軟件代碼，Adobe AIR支持自己製作證書籤名。如果您使用Adobe AIR提供的簽名工具使用自簽證書籤名，運行軟件後的顯示效果如下圖1所示，會顯示一個紅色大問號：發行商：未知，同時顯示一個紅色叉：發行商身份：未知。

 

    而如果您使用WoSign頒發的 Adobe AIR 代碼簽名證書 簽名air文件，運行軟件後的顯示效果如下圖2所示，會顯示一個黃色大問號：發行商：您的公司名稱(中文或英文) ，同時顯示一個綠色勾：發行商身份：已驗證。表明此軟件發行商的真實身份是經過權威第三方驗證過的。

3. 文件打包和簽名指南

    假設您已經成功安裝 Adobe AIR SDK，則 C:\AdobeAIRSDK\bin 目錄下有兩個有用的工具軟件：ADL和ADL，請把此目錄設置爲 path環境變量。假設您的應用軟件目錄爲：d:\myair\source\myapp.xml，並把您申請的Adobe AIR 代碼簽名證書 導出的PFX證書：mycert.pfx 也拷到該目錄下，進入DOS命令符方式，使用如下命令打包和簽名：

adt -package -storetype pkcs12 -keystore mycert.pfx myapp.air myapp.xml .

    這裏：myapp.air就是打包後生成的已經簽名文件，myapp.xml就是要打包的文件，可以是許多個相關文件，如： myApp.xml myApp.html AIRAliases.js image.gif 等。

    運行後會提示輸入您的證書密碼，就是您導出證書時設置的密碼，回車就完成打包和簽名，就可以部署供客戶下載運行了。

    如果您還沒有購買 Adobe AIR 代碼簽名證書，則也可以使用以下命令製作一個自簽證書用於測試簽名，但如上圖1所示，會顯示：發行商：未知 。 進入DOS命令符方式，輸入以下命令生成自簽證書，自簽證書文件名爲：testcert.pfx

adt -certificate -cn selfsign -ou test -o test -c CN 1024-RSA testcert.pfx password

    成功生成自簽證書後就可以使用以上打包和簽名命令來簽名了。請注意：自簽證書僅用於測試用，商業發行的軟件還必須購買 Adobe AIR 代碼簽名證書 來簽名您的.AIR文件。

    請注意：使用 Adobe AIR 代碼簽名證書 來簽名您.air代碼時簽名工具 ADT 會自動加上免費時間戳。 時間戳服務非常重要，添加時間戳後，即使您的代碼簽名證書已經過期，但由於您的代碼是在證書有效期內簽名的，則時間戳服務保證了此代碼仍然可信，最終用戶仍然可以放心下載，使得即使代碼簽名證書已經過期，您也無需重籤和重新發布已經簽名的代碼。