Java Was tun für Update 51 bzgl. Webstart Apps

[aPollO]

Hallo Ihr,

nun ist es ja so das ab Update 51 die Sicherheitsrichtlinien für WebStart Apps erhöt werden und man alle jar Files mit einem öffentlichen trusted Zertifikat zertifizieren muss.

Wie macht ihr das?

Es geht um eine Anwendung die über viele verschiedene Rechner in lokalen Netzen an die Clients verteilt wird, ich kann ja jetzt nicht für alle 50 Server n Zertifikat kaufen

Oder an 500 PCs rumgehen um die ruleset.xml in der DeploymentRuleSet.jar mit meiner Signatur zu ergänzen.

Hat jemand Tipps?

Edit: Die Zahlen sind natürlich fiktiv, bevor jetzt Jemand kommt und sagt das es bescheuert ist. Und es handelt sich dabei natürlich auch um verschiedene räumlich getrennte LANs.

 

[TheCadillacMan]

Laut Java RIA security checklist funktionieren auch Self-Signed-Zertifikate, solange sie auf dem Client als trusted CA importiert sind. Das kann man unter Windows in einer Domäne z. B. mit Gruppenrichtlinen bewerkstelligen.
Andere Möglichkeit: Die DeploymentRuleSet.jar per (Start-)Batch an den entsprechenden Pfad kopieren.

Irgendeine Möglichkeit zur zentralen Verwaltung der Clients wirst du doch haben, oder?

 

[aPollO]

Das mit den selbst signierten per Windows Domäne ist eine coole Idee, danke.

Per Batch ist leider nicht so einfach möglich, da man dazu Administrator Rechte benötigt, die nicht jeder zwingend hat. Ich hab leider keinen direkten Einfluss auf die Clients, weder auf die Verwaltung per Domäne o.ä. noch hab ich genaue Kentnisse wie das an den jeweiligen Standorten gelöst ist, ich weiß, dass auf jedenfall nicht alle Clients in einer Domäne sind.

 

[TheCadillacMan]

Für Clients die nicht in der Domäne sind sehe ich ehrlich gesagt keine automatisierte Lösung. Du kannst ja nicht mal das Java-Update verhindern (wäre sowieso keine gute Lösung).
Letzte Möglichkeit wäre für ein kleines Programm, das Zugangsdaten für einen Admin-Account enthält und das Zertifikat importiert (benötigt auch Admin-Rechte) bzw. die Datei kopiert. Das wäre aber die allerletzte Idee, weil man sicherstellen muss, dass die Zugangsdaten ausreichend vor dem Auslesen geschützt sind.

Von welchen Größenordnungen sprechen wir überhaupt? Bzw. wie viele Clients sind denn nicht in der Domäne?
Wenn die Anzahl der Nicht-Domänen-Clients überschaubar ist würde ich das zur Not manuell machen.
Wenn nicht, ist zu überlegen ab wann entsprechenden Zertifikate von einer "großen" Zertifizierungsstelle billiger sind, als der Aufwand eine alternativ Lösung zu verteilen.

 

[JP-M]

Wenn nicht, ist zu überlegen ab wann entsprechenden Zertifikate von einer "großen" Zertifizierungsstelle billiger sind, als der Aufwand eine alternativ Lösung zu verteilen.

Also ein Zertifikat zum Signieren von Jars mit 3 Jahren Gültigkeitsdauer kostet bei "teueren" Anbietern wie Verisign um die 1250$, für ein Jahr sind es knapp 500$. Das ist auch der Weg den wir gegangen sind, da mit den Self-Signed Jars am Ende immer wieder irgendwelche exotischen aber relevanten Systeme Probleme hatten, die dann natürlich mal eben "nebenbei" gelöst werden mussten, wodurch am Ende die Kosten des Zertifikats fix durch die Kosten für Wartung überholt waren.