在时间戳服务器上使用时间戳和身份验证签名jar

我想使用java jarsigner工具的时间戳选项-tsa。我想要的时间戳服务需要认证。为此，您可以获得个性化的软标记，以在时间戳服务器上识别您自己。在时间戳服务器上使用时间戳和身份验证签名jar

我的问题：该认证是否支持jarsigner工具？换句话说：jarsigner是否支持RFC 3161（时间戳协议）和 RFC 2246（认证）？

有一个选项-tsacert的jarsigner。该文档指出：

如果在签名JAR文件时在命令行上出现“-tsacert别名”，则会为签名生成时间戳。别名标识当前有效的密钥库中的TSA公钥证书。检查条目的证书是否包含标识TSA位置的URL的Subject信息访问扩展。

我感到困惑的是措辞“为签名生成时间戳”。这是什么意思？此外，“别名标识TSA的公钥证书”的措辞令人困惑：似乎它用于验证时间戳（因为它是公钥）不识别请求者（因为它不是私钥）。

此外：我想签署的证书是而不是软令牌，但存储在智能卡上。它不能被导出到密钥库。因此我必须使用选项-keystore NONE -storetype PKCS11。我认为由于这个原因，选项-tsacert alias不能使用，因为它需要一个真正的包含软标记的密钥库。