webstart-maven-plugin + 無償で正統 ? なコード署名 証明書を入手する方法 久保 裕也 <hiroya@cuc.ac.jp>

自己紹介 ____ なまえ： くぼひろや しごと： オープンソースプログラマ 兼 大学教員 JavaOneTokyo2005 Night for Java Tech 出場 IPA未踏ソフト2007年I期採択者 採択テーマ：「SQS2.0の開発」

なまえ： くぼひろや

しごと： オープンソースプログラマ 兼 大学教員

JavaOneTokyo2005 Night for Java Tech 出場

IPA未踏ソフト2007年I期採択者

採択テーマ：「SQS2.0の開発」

いいたいこと！ みんな、もっと、 デスクトップアプリを書こうよ！ クライアント側 へのアプリ配布には、 JavaWebStart が最適。 JavaWebStart での開発には、 Maven2 が便利だよ！

みんな、もっと、 デスクトップアプリを書こうよ！

クライアント側 へのアプリ配布には、 JavaWebStart が最適。

JavaWebStart での開発には、 Maven2 が便利だよ！

JavaWebStart 、 つかってますか？

JavaWebStart とは？ ブラウザ上から、クリックひとつで、 Java アプリを起動させるしくみ 。 AIR, ClickOnce などと類似の技術 オフラインでの起動も可能。 オンラインなら最新バージョンへの更新も簡単。

ブラウザ上から、クリックひとつで、 Java アプリを起動させるしくみ 。

AIR, ClickOnce などと類似の技術

オフラインでの起動も可能。

オンラインなら最新バージョンへの更新も簡単。

たとえばこんな感じ http://plat.prof.cuc.ac.jp/~hiroya/sprite/piano.jnlp

http://plat.prof.cuc.ac.jp/~hiroya/sprite/piano.jnlp

JavaWebStart アプリの開発・配置 「配布用ファイル群」を用意する メタデータ (JNLP ファイル ) を書く Jar ファイルをパックする （ Jar ファイルに署名する） 「配布用ファイル群」を Web サーバ上に配置する

「配布用ファイル群」を用意する

メタデータ (JNLP ファイル ) を書く

Jar ファイルをパックする （ Jar ファイルに署名する）

「配布用ファイル群」を Web サーバ上に配置する

JavaWebStart のセキュリティ デフォルトでは、 SandBox 内 で動作 開発者が、システム資源を、 JNLP API 経由で 獲得するようにプログラムを書けば、 ユーザが、システム資源を、逐次的・明示的に許可することで、ローカルファイルの読み書き等が可能に 開発者 / 配布者が、 すべての Jar にコード署名 をし、 ユーザが、初回起動時に許可をすれば、 SandBox 外 で動作させることも可

デフォルトでは、 SandBox 内 で動作

開発者が、システム資源を、 JNLP API 経由で 獲得するようにプログラムを書けば、

ユーザが、システム資源を、逐次的・明示的に許可することで、ローカルファイルの読み書き等が可能に

開発者 / 配布者が、 すべての Jar にコード署名 をし、 ユーザが、初回起動時に許可をすれば、 SandBox 外 で動作させることも可

「このセキュリティ証明書は、 信頼できる団体によって 発行されています」

ところで。 ちょっと本気の Java プロジェクトでは： 依存関係にある jar ファイルの数が、 10 個や 20 個になるくらいのものが、 珍しくない 。 net.sqs2:sqs-util org.mortbay.jetty:jetty org.mortbay.jetty:jetty-util org.mortbay.jetty:servlet-api-2.5 xalan:xalan xerces:xercesImpl velocity:velocity oro:oro batik:batik-awt-util com.lowagie:itext net.sf.ehcache:ehcache org.apache.poi:poi commons-collections:commons-collections commons-httpclient:commons-httpclient commons-logging:commons-logging commons-lang:commons-lang commons-codec:commons-codec commons-digester:commons-digester commons-beanutils:commons-beanutils commons-io:commons-io net.sourceforge.collections:collections-generic xnap-commons:xnap-commons gettext-commons:gettext-commons jfree:jfreechar ｔ jfree:jcommon

依存関係にある jar ファイルの数が、 10 個や 20 個になるくらいのものが、 珍しくない 。

net.sqs2:sqs-util

org.mortbay.jetty:jetty

org.mortbay.jetty:jetty-util

org.mortbay.jetty:servlet-api-2.5

xalan:xalan

xerces:xercesImpl

velocity:velocity

oro:oro

batik:batik-awt-util

com.lowagie:itext

net.sf.ehcache:ehcache

org.apache.poi:poi

commons-collections:commons-collections

commons-httpclient:commons-httpclient

commons-logging:commons-logging

commons-lang:commons-lang

commons-codec:commons-codec

commons-digester:commons-digester

commons-beanutils:commons-beanutils

commons-io:commons-io

net.sourceforge.collections:collections-generic

xnap-commons:xnap-commons

gettext-commons:gettext-commons

jfree:jfreechar ｔ

jfree:jcommon

開発・設定・署名・配布などなど、 多様な場面・ツール内で、 いろいろな jar ファイル への参照を、 膨大な数 で管理しなければならない！ 開発環境で、 jar ファイルを設定…… JNLP ファイルで、 jar ファイルを設定…… ant でコード署名をするために build.xml 内で jar ファイルを設定…… … 特に、コード署名が、面倒くさい！ というわけで、 色々と面倒くさい！

開発・設定・署名・配布などなど、 多様な場面・ツール内で、

いろいろな jar ファイル への参照を、 膨大な数 で管理しなければならない！

開発環境で、 jar ファイルを設定……

JNLP ファイルで、 jar ファイルを設定……

ant でコード署名をするために build.xml 内で jar ファイルを設定……

… 特に、コード署名が、面倒くさい！

webstart-maven-plugin を、使おう！ ここからは、ようやく Maven の話です。

pom.xml 内で、 webstart-maven-plugin を 設定 <plugin> <groupId> org.codehaus.mojo </groupId> <artifactId> webstart-maven-plugin </artifactId>

<plugin>

<groupId> org.codehaus.mojo </groupId> <artifactId> webstart-maven-plugin </artifactId>

.jnlp で必要な artifact 名を ひたすら列挙 <configuration> <spec>1.0+</spec> <dependencies> <includes> <include> org.mortbay.jetty:jetty </include> <include> org.mortbay.jetty:jetty-util </include> <include> org.mortbay.jetty:servlet-api-2.5 </include> <include> xalan:xalan </include> <include> xerces:xercesImpl </include> <include> batik:batik-awt-util </include> <include>o rg.apache.poi:poi </include> <include> commons-httpclient:commons-httpclient </include> <include> commons-logging:commons-logging </include> <include> commons-lang:commons-lang </include> <include> commons-codec:commons-codec </include> <include> commons-digester:commons-digester </include> <include> commons-beanutils:commons-beanutils </include> <include> commons-io:commons-io </include> これらの artifact 群で、 JWS アプリの 構成を指定するよ。

<configuration>

<spec>1.0+</spec>

<dependencies>

<includes>

<include> org.mortbay.jetty:jetty </include>

<include> org.mortbay.jetty:jetty-util </include>

<include> org.mortbay.jetty:servlet-api-2.5 </include>

<include> xalan:xalan </include>

<include> xerces:xercesImpl </include>

<include> batik:batik-awt-util </include>

<include>o rg.apache.poi:poi </include>

<include> commons-httpclient:commons-httpclient </include>

<include> commons-logging:commons-logging </include>

<include> commons-lang:commons-lang </include>

<include> commons-codec:commons-codec </include>

<include> commons-digester:commons-digester </include>

<include> commons-beanutils:commons-beanutils </include>

<include> commons-io:commons-io </include>

.jnlp ファイルを生成するための Velocity のテンプレートを指定 <jnlp> <version> 1.0 +</version> <inputTemplate> src/jnlp/jnlp.vm </inputTemplate> <outputFile> HogeHoge.jnlp </outputFile> <mainClass> com.example.foo.bar.MainClass </mainClass> </jnlp> .vm で ${dependencies} と書いておけば、 pom.xml の <dependencies> 要素以下をもとに、 <jar> 要素群を 自動埋め込みするよ！

<jnlp>

<version> 1.0 +</version>

<inputTemplate>

src/jnlp/jnlp.vm

</inputTemplate>

<outputFile>

HogeHoge.jnlp

</outputFile>

<mainClass>

com.example.foo.bar.MainClass

</mainClass>

</jnlp>

コード署名のための設定 <sign> <keystore> /home/javajava/verisign.p12 </keystore> <keypass /> <storepass> xxxxxxxx </storepass> <storetype>pkcs12</storetype> <alias> example.com's verisign, inc. id </alias> <verify>false</verify> </sign> ここで指定した 鍵ストア・ alias で、 . jar ファイル群を 自動的に署名するよ

<sign>

<keystore> /home/javajava/verisign.p12

</keystore>

<keypass />

<storepass> xxxxxxxx </storepass>

<storetype>pkcs12</storetype>

<alias>

example.com's verisign, inc. id

</alias>

<verify>false</verify>

</sign>

target/jnlp/ の下に、 HogeHoge.jnlp ファイル そのプロジェクトの artifact の jar ファイル 依存 artifac ｔの jar ファイルその１ 依存 artifac ｔの jar ファイルその２ 依存 artifac ｔの jar ファイルその３… を、作成する。 これら全部が、 mvn install 一発で完成！

target/jnlp/ の下に、

HogeHoge.jnlp ファイル

そのプロジェクトの artifact の jar ファイル

依存 artifac ｔの jar ファイルその１

依存 artifac ｔの jar ファイルその２

依存 artifac ｔの jar ファイルその３…

を、作成する。

すっげー便利！ ということが わかった人、 拍手してください！ ありがとう

「コード署名証明書」、 買ったことありますか？ ここで質問.

Verisign 社のコード署名証明書 ￥ 94,500( 税込、 1 年間有効 ) GlobalSign 社のコード署名証明書 ￥ 39,900( キャンペーン価格 ;-, 税込、 1 年間有効 ) 毎年の更新時に、 「組織の実在性確認」「申請の意思確認」を 受けなければならない . コード署名証明書の費用

Verisign 社のコード署名証明書

￥ 94,500( 税込、 1 年間有効 )

GlobalSign 社のコード署名証明書

￥ 39,900( キャンペーン価格 ;-, 税込、 1 年間有効 )

毎年の更新時に、 「組織の実在性確認」「申請の意思確認」を 受けなければならない .

証明書購入プロセス 技術担当者 が，購入内容と購入手順を示した計画書を作成 えらいひと が，計画書をもとに購入に GO サインを出す 事務担当者 が，組織の存在証明に必要な書類一式を揃えて認証局に郵送 技術担当者 が， Web などを通じて「コード署名証明書」の発行を認証局に依頼 会計担当者 が，金融機関を通じて購入手続きを行なう えらいひと が，認証局からの電話連絡に答えて存在証明をする 技術担当者 が， Web を通じて「コード署名証明書」を取得 技術担当者 が，「コード署名証明書」を用いて署名作業を行なう これを毎年アレンジ するのは、正直、 ものすごーく 面倒くさい！！！ ( とくに、 えらいひと 関連… )

技術担当者 が，購入内容と購入手順を示した計画書を作成

えらいひと が，計画書をもとに購入に GO サインを出す

事務担当者 が，組織の存在証明に必要な書類一式を揃えて認証局に郵送

技術担当者 が， Web などを通じて「コード署名証明書」の発行を認証局に依頼

会計担当者 が，金融機関を通じて購入手続きを行なう

えらいひと が，認証局からの電話連絡に答えて存在証明をする

技術担当者 が， Web を通じて「コード署名証明書」を取得

技術担当者 が，「コード署名証明書」を用いて署名作業を行なう

「オレオレ証明書」、 使ってますか？ ここで質問.

JavaWebStart は、 何らかのコード署名をしないと、 はっきりいって使い物にならない！ ( 本番の環境なのに ) 「 オレオレ証明書 」を作って 使っている例が多い。 Cf. 「高木浩光＠自宅の日記」 http://takagi-hiromitsu.jp/diary / これに対し、 Sun JRE は、わりと激しい文面で、 「 オレオレ証明書だから起動をしないように！ 」 という意味の警告表示をしてくる。

( 本番の環境なのに ) 「 オレオレ証明書 」を作って 使っている例が多い。 Cf. 「高木浩光＠自宅の日記」

http://takagi-hiromitsu.jp/diary /

これに対し、 Sun JRE は、わりと激しい文面で、 「 オレオレ証明書だから起動をしないように！ 」 という意味の警告表示をしてくる。

コード署名の「理想」と「現実」 PKI の崇高なる理想、しかし、 各種の 「オレオレ証明書」 が氾濫する現実。 「オレオレ証明書」の警告を、 ユーザにわざわざ無視させるような、 危険な操作マニュアルが、 まかり通っている。

PKI の崇高なる理想、しかし、

各種の 「オレオレ証明書」 が氾濫する現実。

「オレオレ証明書」の警告を、 ユーザにわざわざ無視させるような、 危険な操作マニュアルが、 まかり通っている。

無償で正統？な コード署名証明書を 入手する方法 ( アンチテーゼとして )

Thawte Personal e-mail certificates メアドさえあれば、 誰にでも無料で、 その場ですぐに 、 メール署名用の 証明書 ( PKCS7 ) を発行してくれる。 この証明書は、 jarsigner での コード署名にも 使える 。 http://www.thawte.com/

メアドさえあれば、 誰にでも無料で、 その場ですぐに 、 メール署名用の 証明書 ( PKCS7 ) を発行してくれる。

この証明書は、 jarsigner での コード署名にも 使える 。

Javaコンパネの「証明書」画面 デフォルトでは、 Class3 CA と、 Freemail CA が、なぜか 同等の認証機関として設定されている！

Thawte Personal Freemail CA は どのように扱うべきか？ Sun は、 JRE コンパネの SignerCA/System から、 Thawte Personal Freemail CA のエントリを 削除すべきではないのか？ (Sun がどうするかはともかくとして、 ) ユーザは、 こういう怪しい CA を 自分の判断で Remove する能力を持つべき。 開発者 / 配布者は、 「オレオレ証明書」を 本番で使ってはいけない！

Sun は、 JRE コンパネの SignerCA/System から、 Thawte Personal Freemail CA のエントリを 削除すべきではないのか？

(Sun がどうするかはともかくとして、 ) ユーザは、 こういう怪しい CA を 自分の判断で Remove する能力を持つべき。

開発者 / 配布者は、 「オレオレ証明書」を 本番で使ってはいけない！

ちなみに、 Maven2 のドキュメントには、 こんな記述があります： Maven リポジトリについて… It should be noted that Maven intends to include enhanced support for such features in the future, including click through licenses on downloading, and verification of signatures . http://maven.apache.org/guides/introduction/introduction-to-repositories.html 「 Maven では、ダウンロード時のクリックスルーライセンスや署名の確認を含む機能拡張を行う予定がある」 （ Maven 翻訳サブプロジェクト 訳 ）

コード署名証明書は、購入も利用も、色々と面倒だけど、 ユーザには、なるべく 正しい使い方をさせよう！ おわり

コード署名証明書は、購入も利用も、色々と面倒だけど、

ユーザには、なるべく 正しい使い方をさせよう！

参考：元ネタ初出時のURL webstart-maven-plugin http://sqs.cmr.sfc.keio.ac.jp/tdiary/20070709.html#p01 無償で正統的なコード署名証明書を入手する方法 http://sqs.cmr.sfc.keio.ac.jp/tdiary/20051003.html

webstart-maven-plugin

http://sqs.cmr.sfc.keio.ac.jp/tdiary/20070709.html#p01

無償で正統的なコード署名証明書を入手する方法 http://sqs.cmr.sfc.keio.ac.jp/tdiary/20051003.html

おまけ

JavaWebStart 、 たとえば、 こんなふうに使えます。 本発表者による開発事例 (IPA 未踏「 SQS2.0 の開発」での案件 )

Swing アプリ内部で PDF を生成し、 JNLP API のブラウザ連携機能 で、その PDF を AdobeReader で表示 紙帳票の PDF XHTML ＋ XForms から、 XSLT で、 SVGPrint,FO を作って 紙帳票 ( アンケート用紙）を印刷 アウトライン編集型 XML エディタ

汎用の ADF （自動紙送り ) 装置付きスキャナで スキャン

たくさん起動しておくと、 自動的に分散並列して 処理が高速化する JavaWebStart で P2P グリッド 紙帳票 ( アンケート用紙） スキャン画像の解析・読み取り

JavaWebStart から 起動させた httpd と で Ajax 紙帳票 ( アンケート用紙）の集計結果を iTunes 的 GUI で 検索・閲覧・修正・データ書き出し GoogleGears 的な仕組みを、自前で実装してみる

「 SQS 」で検索 http:// www.google.co.jp/search?q =SQS ApacheLicenseVer.2 開発者絶賛募集中！