jnlp中的jar资源未使用相同的证书进行签名

我曾经遇到类似的问题，检查了JAR包后发现某个第三方JAR包被其他人签名。

你应该为被其他证书签名的JAR包创建一个单独的jnlp文件，并从你的jnlp文件中读取这个jnlp文件：

<resources>
  ...
  <extension name="other" href="other.jnlp"/>
</resources>

这里或者这里可以找到一个示例。

以下脚本列出了在 /some/lib 目录中每个 jar 文件中的 RSA 证书序列号，有助于找到由错误证书签名的 jar 文件：

for f in $( find /some/lib -type f -name '*.jar' )
do 
   serial=$( unzip -p $f 'META-INF/*.RSA' | 
             openssl pkcs7 -inform der -print -noout |
             grep --max-count=1 serialNumber | cut -d: -f2- | tr -d ' ' )
   printf "%40s: %s\n" "$serial" "$f"
done

我发现JNLP/Webstart不喜欢使用jarsigner.exe对同一个JAR文件进行多次签名/签署。如果像BouncyCastle这样的JAR文件（已经预先签名）再次使用公司证书进行签名，视觉检查会使我相信新证书和签名已经正确地执行在JAR文件中。但是，JNLP可能只读取META-INF中的第一个（按字母顺序？）签名，并抱怨它与其他JAR文件不匹配（每个JAR文件上只有一个企业签名）。

这可能是您使用作为库的已签名jar中的过时清单条目。我通过webstart遇到了jogl的这个问题。请尝试以下操作：

解压缩所有的jar文件，清除所有的META-INF目录，然后再次打包和签名它们。

我曾经遇到和Matthew描述的一模一样的问题，即使用预签名的BouncyCastle JAR包时出现错误。但是，我发现JRE 1.6.0_14及更高版本可以轻松接受具有多个签名的JAR包（正如我所期望的那样）。因此，我不需要使用上面描述的JNLP“组件扩展机制”。
PS：在1.6.0_14版本的发布说明中没有找到任何明显的修复引用。然而，我已经验证了多个签名的JAR包在所有后续版本中都有效（至少是14-17 + 24）。

查看常见问题解答之一的说明：如何使用由不同证书签名的多个JAR文件？

正确的解决方案。

在我的项目中，发生的情况是负载均衡器池中有几个实例，其中一些实例具有旧版本的代码，而另一些实例则具有新版本。因此，存在由不同证书签名的证书...