使用 OpenSSL 从 SMIME 消息（pkcs7 签名）中提取公共证书

Posted 2023-02-25

【中文标题】使用 OpenSSL 从 SMIME 消息（pkcs7 签名）中提取公共证书

【英文标题】：Extract public Certificate from SMIME Message (pkcs7-signature) with OpenSSL

【发布时间】：2011-08-06 09:27:20

【问题描述】：

如何使用 OpenSSL 从 smime 消息 (pkcs7-signature) 中提取公共证书？

【参考方案1】：

使用命令行工具，假设 S/MIME 消息本身在文件 message 中：

openssl smime -verify -in message -noverify -signer cert.pem -out textdata

这会将签名者证书（嵌入在签名 blob 中）写入cert.pem，并将消息文本数据写入textdata 文件中。

或者，您可以将签名 blob 保存为独立文件（它只是一种附件，因此任何邮件应用程序或库都应该能够做到这一点。然后，假设所述 blob 位于名为 @ 的文件中987654325@，使用：

openssl pkcs7 -in smime.p7s -inform DER -print_certs

这将打印出嵌入在 PKCS#7 签名中的所有证书。请注意，可能有多个：签名者的证书本身，以及签名者认为适合包含的任何额外证书（例如，可能有助于验证其证书的中间 CA 证书）。

【讨论】：

我如何从巨大的 pkcs7 singed 信封中验证和提取数据？ openssl 中是否有任何选项可以按块处理而不是不加载整个文件？

@Ashish 你找到任何选项了吗？我的任务是使用 nodeJS 验证数字签名。我在 nodeJS 和证书保护方面比较新，只想了解它如何正常工作。这个问题是十年前的问题，但也许你还记得那个问题的某些方面？

【参考方案2】：

或者只是：

cat message.eml | openssl smime -pk7out | openssl pkcs7 -print_certs > senders-cert.pem

【讨论】：

我正在寻找一种无需创建文件（只是管道和过滤器）即可获取证书信息的方法，就是这样。由于我对证书本身不感兴趣，所以我发出最后一个命令openssl pkcs7 -print_certs -noout

【参考方案3】：

如果您正在编写 C/C++，此代码 sn-p 会有所帮助

    //...assuming you have valid pkcs7, st1, m_store etc......

    verifyResult = PKCS7_verify( pkcs7, st1, m_store, content, out, flags);
    if(verifyResult != 1) 
        goto exit_free;
    

    //Obtain the signers of this message. Certificates from st1 as well as any found included
    //in the message will be returned.
    signers = PKCS7_get0_signers(pkcs7, st1, flags);
    if (!save_certs(env, signerFilePath, signers)) 
        //Error log
    

//This method will write the signer certificates into a file provided
int save_certs(JNIEnv *env, jstring signerFilePath, STACK_OF(X509) *signers)

    int result = 0;
    int i;
    BIO *tmp;
    int num_certificates = 0;

    if (signerFilePath == NULL) 
        return 0;
    

    const char *signerfile = (const char *)env->GetStringUTFChars(signerFilePath, 0);
    tmp = BIO_new_file(signerfile, "w");
    if (!tmp) 
        //error. return
    
    num_certificates = sk_X509_num(signers);
    for(i = 0; i < num_certificates; i++) 
        PEM_write_bio_X509(tmp, sk_X509_value(signers, i));
    
    result = 1;

    exit_free:
    BIO_free(tmp);
    if (signerfile) 
        env->ReleaseStringUTFChars(signerFilePath, signerfile);
        signerfile = 0;
    
    return result;