16 messages in net.java.dev.soujava.j2me-listRE: [j2me-list] Certificado Digital
FromSent OnAttachments
Flávio AlvesJun 6, 2008 7:33 am 
Adeline de SousaJun 6, 2008 7:46 am 
Flávio AlvesJun 6, 2008 8:14 am 
Fernando FranziniJun 6, 2008 8:23 am 
Rogério Peres GomesJun 6, 2008 9:19 am 
Claudio MirandaJun 6, 2008 9:44 am 
Carlos Fernando GonçalvesJun 6, 2008 9:48 am 
Rogério Peres GomesJun 6, 2008 11:04 am 
Claudio MirandaJun 6, 2008 11:26 am 
Rogério Peres GomesJun 6, 2008 12:22 pm 
Flávio AlvesJun 7, 2008 12:53 pm 
ad...@cin.ufpe.brJun 7, 2008 4:01 pm 
Rogério Peres GomesJun 8, 2008 6:13 pm 
dani...@nokia.comJun 9, 2008 10:59 am 
rdto...@gmail.comJun 9, 2008 1:37 pm 
dani...@nokia.comJun 9, 2008 1:57 pm 
Actions with this message:
Paste this link in email or IM:
Paste this link in email or IM:
Atom feed for this thread
Paste this URL into your reader:
Subject:RE: [j2me-list] Certificado DigitalActions
From:dani...@nokia.com (dani@nokia.com)
Date:Jun 9, 2008 10:59:27 am
List:net.java.dev.soujava.j2me-list

Pessoal,

Pra "fechar" esse assunto que vem tomando conta da lista sem chegar a nenhuma
conclusão, vou dar o caminho das pedras que funciona em geral.

- Certificado de code signing não tem nada a ver com certificados SSL para
servidores Web. Um não se relaciona com o outro nem podem ser usados para o
mesmo propósito. - Portanto o certificado correto é o CODE SIGNING, que pode ser comprado na
Verisign, na Thawte, Entrust.net ou Global Sign. - Não existe certificado CODE SIGNING de teste, pois seria impossível para a CA
permitir que o mesmo fosse usado para assinar aplicações finais. Cada
certificado code signing precisa ser autenticado contra o root certificate do
aparelho, e precisa ser válido, ou seja, conter dados reais sobre o
desenvolvedor e a empresa, ambos verificados pelo CA. Só existe certificado SSL
(HTTPS) de teste, porque o browser pode baixar o CA temporariamente. Os
celulares não podem baixar CAs de code signing certificates, somente de SSL. - Existem alguns aparelhos nos quais você consegue colocar seu certificado falso
assinado via keytool (self-signed certificate) mas isso é uma falha de segurança
que já foi corrigida na maioria absoluta dos aparelhos.

Resumindo: testar aplicações assinadas = só assinando a aplicação com
certificado válido e real, ou passando-a pelo Java Verified
(http://www.javaverified.com) .

Só para dar uma perspectiva de fabricante: em todos os telefones da Nokia, o
certificate store para certificados code-signing é FECHADO, e só pode ser
modificado através de ferramentas que só nós da Nokia possuímos. A maioria dos
outros fabricantes segue o mesmo procedimento.

Espero que esteja definivamente esclarecido.

Abraços, Daniel

________________________________

From: ext Flávio Alves [mailto:flav@gmail.com] Sent: Saturday, June 07, 2008 4:54 PM To: j2me@soujava.dev.java.net Subject: Re: [j2me-list] Certificado Digital

Oi pessoal,

estou precisando de um certificado para minha aplicação mobile. Tentei gerar os
certificados pelo keytool do java, mas tenho problemas quando vou instalar nos
celulares. Já havia aberto uma discussão sobre esse tema aqui no grupo. Li o
blog do Cláudio Miranda
<http://www.claudius.com.br/blog/claudio/2007/04/17/Certifica%C3%A7%C3%A3o-Digital-em-Aplica%C3%A7%C3%B5es-Java-ME>
, ele me ajudou bastante...

Mas ainda assim não consegui encontrar um certificado para testes. Vi no site
www.globalsign.com um anúncio de um certificado temporário para testes, segui os
passos descritos por eles, mas no meio do processo "me aparece" uma tela para
enviar os dados de cobrança (175 euros). Enviei um email para o suporte, estou
esperando a resposta.

Já dei uma olhada na verisign e thawte, lá só encontrei certificados SSL, ou
seja, para requisições a browser, o que não é o meu caso.

Se alguém souber de alguma entidade que forneça certificados do tipo code
signing para aplicações mobile, agradeço muito!

[]s Flávio Alves

2008/6/6 Rogério Peres Gomes <roge@cacapava.com.br>:

É perfeitamente possível sim, a questão é que no "valor" do certificado existe
a data de validade do mesmo. Quando você renova esse "valor" é mudado.

Rogério -----Mensagem original----- De: Claudio Miranda [mailto:clau@claudius.com.br]

Enviada em: sexta-feira, 6 de junho de 2008 15:26

Para: j2me@soujava.dev.java.net Assunto: Re: [j2me-list] Certificado Digital

O certificado que você refere-se é a chave pública do CA anexado no certificado do CSR ? Em PKI o que você comentou é perfeitamente possível.

Claudio Miranda

2008/6/6 Rogério Peres Gomes <roge@cacapava.com.br>:

Cláudio,

A questão é que o certificado tem uma ou dois anos de validade. Após isso você
pode renovar e continuar assinando, porém trocando as chaves de assinatura.

Rogério

-----Mensagem original----- De: Claudio Miranda [mailto:clau@claudius.com.br] Enviada em: sexta-feira, 6 de junho de 2008 13:45 Para: j2me@soujava.dev.java.net Assunto: Re: [j2me-list] Certificado Digital

Tanto verisign, thawte assinam por tempo limitado seu certificado. É necessário você criar o CSR (certification signing request) e no site deles tem formulários para solicitação de assinatura.

Cordialmente

Claudio Miranda

De: Flávio Alves [mailto:flav@gmail.com] Enviada em: sexta-feira, 6 de junho de 2008 11:34 Para: j2me@soujava.dev.java.net Assunto: [j2me-list] Certificado Digital

Estou precisando de um certificado digital para minha aplicação, nas minhas pesquisas só encontrei certificados pagos. Alguém conhece alguma entidade que forneça certificados para testes???

-- Claudio Miranda _______________________________________________

--------------------------------------------------------------------- To unsubscribe, e-mail: j2me@soujava.dev.java.net For additional commands, e-mail: j2me@soujava.dev.java.net