为什么我在import证书时出现如下错误

一：c:\zzz\SignedAppletDemo>jar cvf myapplet.jar *.*

执族宏行完此步后，在signedappletdemo文件夹下产生myapplet.jar文件,主要是.class文件

二：c:\zzz\SignedAppletDemo>keytool -genkey -keystore mystore.store -alias my.store

执行完此步后，目录下出现mystore.store文件，为密钥库，此密钥库别名为my.store。

三：c:\zzz\SignedAppletDemo>keytool -export -keystore mystore.store -alias my.store -file mycert.cer

执行完此步后，目录下出现mycert.cer文件，就闷缓是一张证书

四：c:\zzz\SignedAppletDemo>jarsigner -keystore mystore.store myapplet.jar my.store

此步骤是对密钥库签名

然后把myapplet.jar,mystore.store,mycert.cer复制到用户目录下。

以上是服务器所做步骤

以下是客户机所做步骤

五：c:\zzz\SignedAppletDemo>keytool -import -keystore client.store -alias my.store -file mycert.cer

用户同意接收该证书，信任该证书颁发者的所有作品,也就是把收到的证书导入本地密钥库。

六：修改用户的policy文件，文件名为.java.policy放在用户主兆罩册目录下。

七：对接收的文件进行验证

C:\zzz\SignedAppletDemo>jarsigner -verify -verbose -keystore mystore.store myapplet.jar

jar verified.

八：打开接收文件

C:\zzzSignedAppletDemo>jar -vxf myapplet.jar

那么用户就得到所有被签名的文件。

九：在用户端把生成的证书导入，即安装证书

一、废止的部门规章

（一）全国体育运动单项竞赛制度（试行）

（1989年6月11日国家体育运动委员会令第1号发布）

（二）全国体育竞赛管理办法（试行）

（2000年3月16日国家体育总局令第3号发布）二、废止的政策性文件

（一）仲裁委员会条例

（1982年7月29日国家体育运动委员会发布，[82]体政研字8号）

（二）关于优秀运动员、教练员自费出国留学的审批原则

（1985年源首毕7月17日国家体育运动委员会雹芹发布，[85]体干字582号）

（三）全国体育竞赛赛区工作条例

（1986年2月20日国家体育运动委员会发布，[86]体综办字13号）

（四）违犯《全国体育竞赛赛区工作条例》的纪律规定

（1986年2月20日国家体育运动委员会发布，[86]体综办字14号）

（五）授予优秀运动员、教练员体育运动奖章的暂行办芹颂法

（1987年4月1日国家体育运动委员会发布，[87]体综办字23号）

（六）教练员管理工作暂行办法

（1988年2月29日国家体育运动委员会发布，[88]体干字103号）

（七）对在重大国际比赛中做出突出贡献单位的奖励试行办法

（1989年3月30日国家体育运动委员会发布，[89]体训竞综字21号）

（八）关于加强城市社区体育工作的意见

（1997年4月2日国家体育运动委员会、国家教育委员会、民政部、建设部、文化部发布，体群字〔1997〕50号）

（九）体育彩票公益金管理暂行办法

（1998年9月1日国家体育总局、财政部、中国人民银行发布，体经字〔1998〕365号）

（十）国家体育训练基地（中心）命名暂行办法

（1999年9月28日国家体育总局发布，体竞字〔1999〕130号）

（十一）体育彩票财务管理暂行规定

（1999年11月15日国家体育总局发布，体经字〔1999〕444号）

（十二）体育竞赛裁判员管理办法（试行）

（1999年11月22日国家体育总局发布，体竞字〔1999〕153号）

（十三）关于公开水域开展游泳活动管理办法（试行）

（2000年12月4日，国家体育总局办公厅发布，体游字〔2000〕304号）

（十四）全国汽车运动管理规定

（2001年10月12日国家体育总局发布，体汽联字〔2001〕122号）

（十五）《普通人群体育锻炼标准》施行办法（试行）

（2003年5月13日国家体育总局、国家民族事务委员会、财政部、农业部、卫生部、全国总工会、共青团中央、全国妇女联合会发布，体群字〔2003〕42号）

（十六）全国城市体育先进社区评定办法

（2004年1月16日国家体育总局、中央精神文明建设指导委员会办公室发布，体群字〔2004〕10号）

（十七）国家体育总局科研项目经费管理办法

（2005年5月30日国家体育总局发布，体经字〔2005〕210号）

（十八）运动员保障专项资金实施细则

（2008年8月15日国家体育总局发布，体人字〔2008〕460号）

（十九）国家高水平体育后备人才基地认定办法

（2012年3月21日国家体育总局发布，体青字〔2012〕18号）三、修改《经营高危险性体育项目许可管理办法》（2013年2月21日国家体育总局令第17号发布）

（一）第二条修改为：“本办法所称经营高危险性体育项目，是指企业、个体工商户从事按照《全民健身条例》规定公布的高危险性体育项目的经营活动。”

（二）原第七条改为第八条，并删去第（一）项中的“拟成立经营机构的名称、地址、经营场所等内容”。

原第七条增加一项：“工商营业执照”，列为第（六）项；原第（六）项改为第（七）项。

（三）原第八条改为第七条，并修改为“企业、个体工商户经营高危险性体育项目的，应当在工商行政管理部门依法办理相关登记手续后，向县级以上地方人民政府体育主管部门申请行政许可。”

（四）删去第十二条全文“申请人在获得县级以上地方人民政府体育主管部门行政许可后，应当持许可证到相应的工商行政管理部门依法办理相关登记手续。”

（五）删去第十三条最后一句“经营者持换发的许可证到相应的工商行政管理部门办理变更登记。”

（六）删去第十四条最后一句“经营者持换发的许可证到相应的工商行政管理部门办理续期登记。”

Java2下Applet数字签名具体实现方法我的项目是使用APPLET制作一个实时消息队列监控程序，由于涉及到了本地资源，对APPLET一定要进行数字签名和认虚冲证。我使用的环境是WINDOWS2000，应用服务器是WEBLOGIC6.0，开发环境是JBUILDER4.0。之前我提醒大家一定要注意服务器端和客户端的概念。那些文件应该在服务器端，那些文件应该在客户端。

首先在客户端使用JRE1.3.0_01（JAVA运行环境1.3.0.1版本）以取代IE的JVM(JAVA虚拟机)，可以到www.JAVA.SUN.COM网站上去下载，下载好了先在客户端安装好，安装过程非常简单。

在服务器端的调用APPLET的HTML文件中也需要将它包含进来，以便没有事先安装JRE的客户端下载，具体的写法，请接着往下看；

具体步骤如下:

服务器端：

1．将程序需要用到的各种包文件全部解压(我这儿要用到WEBLOGIC的JMS包使用命令jar xf weblogicc.jar)，然后使用JDK的打包命令将编译好的监控程序.class和刚才解压的包一起打包到一个包中。(前提我已经将监控程序和解开的包都放在同一个目录下了)，都是dos状态下的命令，具体命令见jdk1.3(1.2)的bin目录下，

命令如下：

jar cvf monitor.jar *.class

此命令生成一个名为monitor.jar的包

2．为刚才创建的包文件（monitor.jar）创建keystore和keys。其纤誉拦中，keystore将用来存放密匙(private keys)和公共钥匙的认证，alias别名这儿取为monitor。

命令如下：

keytool -genkey -keystore monitor.keystore –alias monitor

此命令生成了一个名为monitor.keystore的keystore文件，接着这条命令，系统会问你好多问题，比如你的公司名称，你的地址，你要设定的密码等等，都由自己的随便写。

3．使用刚才生成的钥匙来对jar文件进行签名

命令如下：

jarsigner -keystore monitor.keystore monitor.jar monitor

这个命令将对monitor.jar文件进行签名，毁胡不会生成新文件。

4．将公共钥匙导入到一个cer文件中，这个cer文件就是要拷贝到客户端的唯一文件 。

命令如下：

keytool -export -keystore monitor.keystore -alias monitor -file monitor.cer

此条命令将生成monitor.cer认证文件，当然这几步都有可能问你刚才设置的密码。这样就完成了服务器端的设置。这时你就可以将jar文件和keystore文件以及cer文件(我这儿是monitor.jar,monitor.keystore,monitor.cer)拷贝到服务器的目录下了，我用的是weblogic6.0，所以就拷贝到C:\bea\wlserver6.0\config\mydomain\applications\DefaultWebApp_myserver下的自己建的一个目录下了。

客户端：

1． 首先应该安装jre1.3.0_01，然后将服务器端生成的monitor.cer 文件拷贝到jre的特定目录下，我这儿是：

c:\program files\javasoft\jre\1.3.0_01\lib\security目录下。

2． 将公共钥匙倒入到jre的cacerts（这是jre的默认keystore）

命令如下：

keytool -import -alias monitor -file monitor.cer

-keystore cacerts

注意这儿要你输入的是cacerts的密码，应该是changeit，而不是你自己设定的keystore的密码。

3． 修改policy策略文件，在dos状态下使用命令 policytool

系统会自动d出一个policytool的对话框，如图4所示，在这里面首先选择file菜单的open项，打开c:\program files\javasoft\jre\1.3.0_01\lib\security目录下的java.poliy文件，然后在edit菜单中选择Change keystore ，在对话框中new keystore url:中输入

file:/c:/program files /javasoft/jre/1.3.0_01/lib/security/cacerts, 这儿要注意反斜杠，在new keystore type 中输入JKS，这是cacerts的固定格式，然后单击Add Policy Entry，在出现的对话框中CodeBase中输入：

http://URL:7001/*

其中的URL是服务器的IP地址，7001是我的weblogic的端口，如果你是在别的应用服务器上比如说是apache，那端口号就可以省略掉。

在SignedBy中输入(别名alias):这儿是Monitor然后单击add peimission按钮，在出现的对话框中permission中选择你想给这个applet的权限，这儿具体有许多权限，读者可以自己找资料看看。我这儿就选用allpeimission，右边的signedBy中输入别名：monitor

最后保存，在file菜单的save项。

当然你可以看见我已经对多个包实现了签名认证。

这样客户端的设置就完成了。在客户端用ie运行该applet程序时，会询问你是不是对该签名授权，选择授权后，包会自动从服务器下载到本地计算机，而且ie会自动启动jre，在右下栏中可以看见，相当于ie的java控制台。

4．调用applet的html文件

大家都知道由于java2的安全性，对applet的正常调用的html文件已经不能再使用了，而改为ActiveX类型的调用。具体的又分ie和nescape的不同写法，这一些在sun网上都能找到现成的教程。我就不多说了，只是将我的这个小程序为ie写的的html给大家看看。

＜html＞

＜META HTTP-EQUIV="Content-Type" CONTENT="text/htmlCHARSET=gb2312"＞

＜center＞

＜h3＞消息中心实时监控平台＜/h3＞

＜hr＞

＜OBJECT classid="clsid:8AD9C840-044E-11D1-B3E9-00805F499D93"

width="900" height="520" align="baseline" codebase="http://192.168.2.217:7001/j2re-1_3_0_01-win-i.exe#Version=1,3,0,0"＞

＜PARAM NAME="java_code" VALUE="wise.monitor.applet.monitorApplet"＞

＜PARAM NAME="java_codebase" VALUE="monitor/classes"＞

＜PARAM NAME="java_type" VALUE="application/x-java-appletversion=1.3"＞

＜PARAM NAME="ARCHIVE" VALUE="monitor.jar" ＞

＜PARAM NAME="scriptable" VALUE="true"＞

＜/OBJECT＞

＜/center＞

＜/html＞

其中我要强调一点，因为applet每一次的改动都需要重新打包签名，手续非常繁琐，所以在具体的实现中要将一些会变化参数放到html文件中来，传到applet中去，这一点网上文章好多，自己去看吧。

另外一个就是有朋友问我，那这样不是太麻烦了，每一个客户端都要进行复杂的dos命令 *** 作，我只能说一目前我的水平只能将一个已经做好的客户端文件cer文件和java.policy以及cacerts文件直接拷贝到客户端，当然这也有缺陷，如果别人的计算机已经有了认证，就会丢失。就这些问题我们可以一起探讨。

另外还有一点优化，就是在打包的时候，我这儿只讲了把所有要用的涉及到安全性的包和源程序到要打到一个包中。这样如果包非常大的话，会非常影响下载的速度，如果可以使用本地计算机的包就好了，这一点jre也做到了，具体的要到控制面板的jre控制台上去设置。这个就留着读者自己去摸索吧。

结束语

我发现网上java相关的资料非常少，中文的更少，所以希望自己能将一些小知识和大家共享，省掉许多重复的无用功。如果大家对这个问题还有不清楚的地方，或者就这问题相进一步展开讨论的，请和我联系,我的信箱是afeilb@163.net。希望我们能共同进步！

http://java.chinaitlab.com/advance/520330.html

---