Już wiem, że żeby aplet wysyłał emaile, musi być podpisany.
Jednak jest taka sprawa, że przy uruchamianiu takiego aplety pojawia się takie okno, jakie jest w załączniku.
Czy istnieje jakiś sposób, np. dopisać jakoś do HTMLa klucz publiczny czy coś, żeby odbiorca automatycznie weryfikował podpis i to okienko się nie pojawiało?
Wiem, że podpis cyfrowy to są dwa klucze, prywatny do podpisywania i publiczny do sprawdzania podpisu, mając klucz publiczny nie da się obliczyć klucza prywatnego.
Nie możesz nigdzie dodawać swojego klucza publicznego i oczekiwać że Java przy starcie Ci uwierzytelni applet bez pytania. To byś mógł sam sobie applet podpisac i bez weryfikacji wciskać komu się da-zastosowanie jest wręcz odwrotne.
Po to są instytucje certyfikujące...i za tą usługę płacisz-bo im się ufa. Dają Ci klucz (prywatny) do podpisania paczki (jara), tylko że to nie jest szyfrowanie ale bardziej tworzenie sumy kontrolnej-takie md5. A na ich serwerach jest klucz publiczny. Applet kiedy jest wywoływany przez Jave uruchamia proces weryfikacji-przeglądarka łączy się z serwerem tej instytucji, pobiera certyfikat (klucz publiczny) i sprawdza czy Twoja paczka jar to istotnie ta paczka o takiej a takiej sumie kontrolnej, czy zmodyfikowana itp. I wtedy Java dopiero wie czy wyświetlac okienko czy nie o zagrożeniu.
Jak nie wykupisz certyfikatu to okienko zawsze będzie:)
A Ty jak zwykle troche dobrze.
CA nie daja Ci klucza prywatnego - bo to by znaczylo ze ktos poza Toba ten klucz ma, co zupelnym zaprzeczeniem idei klucza prywatnego.
Ty generujesz sobie klucze, ty generujesz sobie plik (ca request czy jakos tak) z twoim kluczem publicznym i wysylasz go np do Verisign. Oni podpisuja to swoim kluczem prywatnym i masz certyfikat podpisany przez root CA. Twoj klucz prywatny siedzi tylko i wylacznie u Ciebie, podpisujesz nim kod i ten kto ten kod uruchamia widzi ze jest to kod zaufany (widzi sygnature plikow i sprawdza czy sie zgadzaja z kluczem publicznym w certyfikacie, i sprawdza czy certyfikat ma pieczatke root CA).
Jesli nie chcesz miec certyfikatu podpisanego przez root CA, to mozesz zrobic swoj (self-signed), wyslac go do klienta zeby zainstalowal go w przegladarce czy gdziekolwiek, sprawdzacie telefonicznie hasze czy sie zgadzaja (zapewnienie dla klienta ze importuje poprawny cert) i wsio.
Pierwsze slysze zeby twoj klucz prywatny lezal u kogos na serwerze. Pierwsze slysze zeby Java sie laczyla z jakims serwerem i brala klucz prywatny - to by znaczylo ze kazdy moze sie polaczyc i taki klucz wziac...
Jeszcze raz - przegladarka ma zainstalowany certyfikat Verisign jako zaufany, Ty wysylasz im podanie z kluczem publicznym, oni podpisuja to swoim prywatnym i masz certyfikat zaufany. Java Web Start / applet plugin sciaga jara, widzi ze jest podpisany, sprawdza czy podpis (kluczem prywatnym) zgadza sie z kluczem publicznym ktory jest w certyfikacie w jarze, nastepnie sprawdza czy certyfikat jest zaufany (podpisany przez jakikolwiek klucz prywatny odpowiadajacy jakiemukolwiek certyfikatowi ktory jest uznany za zaufany). To sie nazywa lancuch certyfikatow.
Nie pierdziel bzdur jak nie wiesz.
Aha i okienka wcale nie musi byc jak nie kupisz certu - jak wspomnialem, mozesz self-signed komus przekazac i on sobie ga zaimportuje, i juz jest zaufany, na rowni z Verisign czy Thawte. A myslisz ze jak dzialaja te root CA? One sa wlasnie self-signed, przeciez ktos musi byc pierwszy w tym lancuchu certyfikatow... Tyle ze oni sa na tyle znani i potezni ze ich certy sa instalowane prawie wszedzie: przegladarki, czy chociazby Twoj telefon komorkowy.