Antes de poder usar la herramienta jarsigner para comprobar la autenticidad de la firma del fichero JAR, necesitamos importar en nuestro keystore el certificado de Stan.
Aunque nosotros (actuando como Stand) creamos que estos ficheros no han sido transportados a ningún lugar , podemos simular que somos una persona distinta a la que lo creó y lo envió, Stan. Actuando como Ruth, teclenado los siguiente para crear un Keystore llamado ruthstore e importar el certificado dentro de una entrada con el alias stan.
keytool -import -alias stan -file StanSmith.cer -keystore ruthstore
Como el keystore no existe, será crado. Se nos pedirá una password para el keystore, tecleamos la password que querramos.
El keytool imprimirá la información del certificado y nos pedirá que lo verifiquemos, por ejemplo, comparando la huella dactilar del certificado mostrado con aquellas obtenidas de otra fuente de información (contrastada). (Cada huella dactilar es un número relativamente corto y único que identifica un certificado). Por ejemplo, en el mundo real podríamos llamar a Stan y preguntarlo cual debería ser su huella dactilar. El puede obtener la huella del fichero StanSmith.cer que ha creado usando el comando:
keytool -printcert -file StanSmith.cer
Si las huellas dactilares corresponden, el certificado no ha sido modificado durante el tránsito. En este caso podemos permitir que keytool proceda con la inclusión de la entrada de certificado verdadero en el keystore. La entrada contiene los datos del certificado de la clave pública obtenidos del fichero StanSmith.cer y se le asigna el alias stan.