Home > Latest topics

Latest topics > オブジェクト署名済みパッケージの作り方まとめ

宣伝1。日経LinuxにてLinuxの基礎?を紹介する漫画「シス管系女子」を連載させていただいています。 以下の特設サイトにて、単行本まんがでわかるLinux シス管系女子の試し読みが可能! シス管系女子って何!? - 「シス管系女子」特設サイト

宣伝2。Firefox Hacks Rebooted発売中。本書の1/3を使って、再起動不要なアドオンの作り方のテクニックや非同期処理の効率のいい書き方などを解説しています。既刊のFirefox 3 Hacks拡張機能開発チュートリアルと併せてどうぞ。

Firefox Hacks Rebooted ―Mozillaテクノロジ徹底活用テクニック
浅井 智也 池田 譲治 小山田 昌史 五味渕 大賀 下田 洋志 寺田 真 松澤 太郎
オライリージャパン

オブジェクト署名済みパッケージの作り方まとめ - Apr 09, 2007

m.tamaki氏によるエントリとFirefox Hacksを見ながら自分でも試してみた。オブジェクト署名証明書が無いので、とりあえずオレオレ証明書での実験だけど。

準備

Windows XPで作業する場合の話をします。

必要なファイルは、NSS(Netscape Security Services)の中に含まれている署名用ツールと、それを動かすために必要なランタイム(Netscape Portable Runtime)。

nss-*.zipを展開するとbin, include, libの3つのフォルダが出てくる。このうち使うのはbinの中にあるツール群とlibの中にあるライブラリ。libの中にあるファイルをすべてbinに移動してしまおう。

nspr-*.zipを展開すると、同様にbin, include, libの3つが出てくるけど、こっちはbinとincludeは使わない。libの中にあるDLLファイルをNSSの方のbinに移動して、残りは全部削除。

インストールはこれでおしまい。NSSのbinをProgram Filesあたりに置いておこう。

以下、コマンドラインからの操作になるので、NSSのbinにパスを通しておくとよい。Windows XPの場合、マイコンピュータを右クリックして「プロパティ」でシステムのプロパティを開き、「詳細設定」の「環境変数」ボタンを押す。「システム環境変数」の中の「Path」を選択して「編集」ボタンを押し、末尾に「;C:\Program Files\nss\bin\」と書き加える(パスは自分がNSSを置いた場所に読み替えて下さい)。

オレオレ証明書の作成

適当なディレクトリで以下のコマンドを実行。

  1. mkdir certs
  2. cd certs
  3. certutil -N -d .

ここで何も表示されずにユーティリティが終了してしまった場合、NSSのlibかNSPRのlibの中身が認識されていない。NSSのbin、NSSのlib、NSPRのlibの中身が全部一ヶ所(NSSのbinフォルダ)にまとまっているかどうかチェックすること。

正常にユーティリティが動き出すと、パスワードの入力を求められる。何か適当なパスワードを入力(確認のための再入力有り)すると、certutilが終了して、certsディレクトリの中にcert8.db, key3.db, secmod.dbの3つのファイルが生成される。

そのまま続けて、以下のコマンドを入力する。

signtool -G "証明書の名前" -p "さっき入力したパスワード" -d .

証明書の名前は好きなように入力して構わない(例:「Clear Code Inc.」)。実行すると何やら警告のメッセージが表示されるので、「y」を入力してEnterすると、証明書の情報の入力を求められる。一応、以下にそれぞれの意味を書いておくけど、organization以外は空欄のまま進めても全然構わない(どうせ公開するものではないので)。

  1. certificate common name:許可証の名前。
  2. organization:組織・会社名。
  3. organization unit:部署名。
  4. state of province:地域。Tokyoとか。
  5. country (must be exactry 2 characters):国名。日本の場合は「jp」。
  6. username:ユーザ名。
  7. email address:メールアドレス。

すべて入力すると、何やらメッセージが出て、オレオレ証明書が生成される。cert8.dbとかがあるディレクトリに生成されるx509.cacertとx509.rawがそれなのかな?

オレオレ証明書で署名してみる

では、このオレオレ証明書でもって署名してみよう。まず署名付きのjarファイルの作り方。

  • myextension
    • chrome
      • content
      • locale
      • skin
    • defaults
      • preferences myextension.js
    • install.rdf
    • chrome.manifest

こんなフォルダ構成を想定して解説する。コマンドプロンプトで、myextensionがカレントディレクトリだとしよう。

  1. mkdir jar_temp
  2. xcopy chrome\content jar_temp\content /i /s
  3. xcopy chrome\locale jar_temp\locale /i /s
  4. xcopy chrome\locale jar_temp\skin /i /s
  5. signtool -k "証明書の名前" -p "さっき入力したパスワード" -d "さっき生成したcert8.dbほかがあるフォルダのパス" -Z myextension.jar jar_temp

これで、content, locale, skinを含んだ署名済みのjarファイルができる。次に、これを含んだXPIパッケージを作る。

  1. mkdir xpi_temp
  2. xcopy defaults xpi_temp\defaults /i /s
  3. xcopy *.rdf xpi_temp\ /i /s
  4. xcopy *.manifest xpi_temp\ /i /s
  5. mkdir xpi_temp\chrome
  6. xcopy *.jar xpi_temp\chrome\ /i /s
  7. signtool -k "証明書の名前" -p "さっき入力したパスワード" -d "さっき生成したcert8.dbほかがあるフォルダのパス" -X -Z myextension.xpi xpi_temp

signtoolのオプションで -X を加えるのを忘れないこと。これはXPIを生成する時用の指定。これがないと、署名付きで作ったはずのパッケージでも、署名無しと判定されてしまう。

ちゃんと署名されているかどうかを確認する

これでできあがったXPIパッケージをFirefoxのウィンドウにドラッグ&ドロップしてみる。「ソフトウェアインストール」ダイアログにおいて、普段だと「署名されていません」と赤文字で表示される所に、さっき入力した証明書の名前さっきorganizationの欄に入力した組織名が斜体で表示されていれば、このパッケージはちゃんと署名されている。

注意。本来だったら、Firefox内の証明書のデータベースにこのオレオレ証明書は登録されていないので、この時点で何らかの警告が出ないといけない(はず)。もし仮にこの問題が修正されたとしたら、オレオレ証明書で署名された拡張機能がちゃんと署名されているかどうかを確認するには、ユーザープロファイル内のcert8.db, key3.db, secmod.dbを、先ほど生成した物と入れ換えてやる必要がある。

オレオレ証明書じゃないちゃんとした証明書でのやり方は?

m.tamaki氏のエントリを参照してください。

気付いたこと

「ソフトウェアインストール」ダイアログで証明書の名前は見れるんだけど、それ以上の情報を確認できない……証明書の名前をクリックしても無反応だし。これじゃあ、どうやってオレオレ証明書とそうじゃない証明書を区別すればいいんだ?

分類:Mozilla > XUL, , , , , 時刻:17:00 | Comments/Trackbacks (3) | Edit

Comments/Trackbacks

no title

jarやxpiを作成するときsigntoolに与えるオプションは(-Gではなく)-kではありませんか?
また、「ソフトウェアインストール」ダイアログに表示されるのは-Gで指定した名前ではなく、organizationに入力した名前であるようです。organizationが空だと、署名されているにもかかわらず「署名されていません」と赤文字で表示されます(Bug 372980)。

Commented by えむけい at 2007/04/12 (Thu) 07:06:56

no title

ご指摘ありがとうございます。コピペで記事を書いたので、しょうもないミスをしてしまいました……

Commented by Piro at 2007/04/13 (Fri) 11:33:43

no title

署名が表示される件は再現しましたが、その先、実際に「インストール」ボタンを押してみると、「署名が検証されていません」というメッセージが出てインストールできませんでした。
Piro さんの環境ではインストールできましたか?

Commented by 池田 at 2007/04/16 (Mon) 13:10:37

TrackBack ping me at


の末尾に2014年1月19日時点の日本の首相のファミリーネーム(ローマ字で回答)を繋げて下さい。例えば「noda」なら、「2007-04-09_cert.trackbacknoda」です。これは機械的なトラックバックスパムを防止するための措置です。

Post a comment

writeback message: Ready to post a comment.

2014年1月19日時点の日本の首相のファミリーネーム(ひらがなで回答)

Powered by blosxom 2.0 + starter kit
Home

カテゴリ一覧

過去の記事

1999.2~2005.8

最近のつぶやき

オススメ

Mozilla Firefox ブラウザ無料ダウンロード