使用 OpenSSL 从 SMIME 消息(pkcs7 签名)中提取公共证书
Posted
技术标签:
【中文标题】使用 OpenSSL 从 SMIME 消息(pkcs7 签名)中提取公共证书【英文标题】:Extract public Certificate from SMIME Message (pkcs7-signature) with OpenSSL 【发布时间】:2011-08-06 09:27:20 【问题描述】:如何使用 OpenSSL 从 smime 消息 (pkcs7-signature) 中提取公共证书?
【问题讨论】:
【参考方案1】:使用命令行工具,假设 S/MIME 消息本身在文件 message
中:
openssl smime -verify -in message -noverify -signer cert.pem -out textdata
这会将签名者证书(嵌入在签名 blob 中)写入cert.pem
,并将消息文本数据写入textdata
文件中。
或者,您可以将签名 blob 保存为独立文件(它只是一种附件,因此任何邮件应用程序或库都应该能够做到这一点。然后,假设所述 blob 位于名为 @ 的文件中987654325@,使用:
openssl pkcs7 -in smime.p7s -inform DER -print_certs
这将打印出嵌入在 PKCS#7 签名中的所有证书。请注意,可能有多个:签名者的证书本身,以及签名者认为适合包含的任何额外证书(例如,可能有助于验证其证书的中间 CA 证书)。
【讨论】:
我如何从巨大的 pkcs7 singed 信封中验证和提取数据? openssl 中是否有任何选项可以按块处理而不是不加载整个文件? @Ashish 你找到任何选项了吗?我的任务是使用 nodeJS 验证数字签名。我在 nodeJS 和证书保护方面比较新,只想了解它如何正常工作。这个问题是十年前的问题,但也许你还记得那个问题的某些方面?【参考方案2】:或者只是:
cat message.eml | openssl smime -pk7out | openssl pkcs7 -print_certs > senders-cert.pem
【讨论】:
我正在寻找一种无需创建文件(只是管道和过滤器)即可获取证书信息的方法,就是这样。由于我对证书本身不感兴趣,所以我发出最后一个命令openssl pkcs7 -print_certs -noout
【参考方案3】:
如果您正在编写 C/C++,此代码 sn-p 会有所帮助
//...assuming you have valid pkcs7, st1, m_store etc......
verifyResult = PKCS7_verify( pkcs7, st1, m_store, content, out, flags);
if(verifyResult != 1)
goto exit_free;
//Obtain the signers of this message. Certificates from st1 as well as any found included
//in the message will be returned.
signers = PKCS7_get0_signers(pkcs7, st1, flags);
if (!save_certs(env, signerFilePath, signers))
//Error log
//This method will write the signer certificates into a file provided
int save_certs(JNIEnv *env, jstring signerFilePath, STACK_OF(X509) *signers)
int result = 0;
int i;
BIO *tmp;
int num_certificates = 0;
if (signerFilePath == NULL)
return 0;
const char *signerfile = (const char *)env->GetStringUTFChars(signerFilePath, 0);
tmp = BIO_new_file(signerfile, "w");
if (!tmp)
//error. return
num_certificates = sk_X509_num(signers);
for(i = 0; i < num_certificates; i++)
PEM_write_bio_X509(tmp, sk_X509_value(signers, i));
result = 1;
exit_free:
BIO_free(tmp);
if (signerfile)
env->ReleaseStringUTFChars(signerFilePath, signerfile);
signerfile = 0;
return result;
【讨论】:
以上是关于使用 OpenSSL 从 SMIME 消息(pkcs7 签名)中提取公共证书的主要内容,如果未能解决你的问题,请参考以下文章
Openssl 命令行无法验证之前创建的分离的 smime 签名
使用 Bouncy Castle 在 Java 中复制“openssl smime”?