Fatal编程技术网
  • encryption/
  • Encryption 使用OpenSSL从SMIME消息(pkcs7签名)提取公共证书

Encryption 使用OpenSSL从SMIME消息(pkcs7签名)提取公共证书

encryption cryptography openssl

Encryption 使用OpenSSL从SMIME消息(pkcs7签名)提取公共证书,encryption,cryptography,openssl,smime,Encryption,Cryptography,Openssl,Smime,如何使用OpenSSL从smime消息(pkcs7签名)中提取公共证书?使用命令行工具,假设S/MIME消息本身位于文件消息中: openssl smime -verify -in message -noverify -signer cert.pem -out textdata 这会将签名者证书(嵌入签名blob中)写入cert.pem,并将消息文本数据写入textdata文件 或者,您可以将签名blob另存为一个独立文件(它只是一种附件,因此任何mailer应用程序或库都可以这样做。然后,假

如何使用OpenSSL从smime消息(pkcs7签名)中提取公共证书?

使用命令行工具,假设S/MIME消息本身位于文件
消息中:


openssl smime -verify -in message -noverify -signer cert.pem -out textdata


这会将签名者证书(嵌入签名blob中)写入
cert.pem
,并将消息文本数据写入
textdata
文件

或者,您可以将签名blob另存为一个独立文件(它只是一种附件,因此任何mailer应用程序或库都可以这样做。然后,假设所述blob位于名为
smime.p7s
的文件中,请使用:


openssl pkcs7 -in smime.p7s -inform DER -print_certs


它将打印嵌入PKCS#7签名中的所有证书。请注意,可以有几个:签名者的证书本身,以及签名者认为适合包含的任何额外证书(例如,可能有助于验证其证书的中间CA证书)。
或者:


cat message.eml | openssl smime -pk7out | openssl pkcs7 -print_certs > senders-cert.pem



如果您正在编写C/C++,此代码段将有所帮助


    //...assuming you have valid pkcs7, st1, m_store etc......

    verifyResult = PKCS7_verify( pkcs7, st1, m_store, content, out, flags);
    if(verifyResult != 1) {
        goto exit_free;
    }

    //Obtain the signers of this message. Certificates from st1 as well as any found included
    //in the message will be returned.
    signers = PKCS7_get0_signers(pkcs7, st1, flags);
    if (!save_certs(env, signerFilePath, signers)) {
        //Error log
    }

//This method will write the signer certificates into a file provided
int save_certs(JNIEnv *env, jstring signerFilePath, STACK_OF(X509) *signers)
{
    int result = 0;
    int i;
    BIO *tmp;
    int num_certificates = 0;

    if (signerFilePath == NULL) {
        return 0;
    }

    const char *signerfile = (const char *)env->GetStringUTFChars(signerFilePath, 0);
    tmp = BIO_new_file(signerfile, "w");
    if (!tmp) {
        //error. return
    }
    num_certificates = sk_X509_num(signers);
    for(i = 0; i < num_certificates; i++) {
        PEM_write_bio_X509(tmp, sk_X509_value(signers, i));
    }
    result = 1;

    exit_free:
    BIO_free(tmp);
    if (signerfile) {
        env->ReleaseStringUTFChars(signerFilePath, signerfile);
        signerfile = 0;
    }
    return result;
}



/…假设您拥有有效的pkcs7、st1、m_商店等。。。。。。
verifyResult=PKCS7_verify(PKCS7、st1、m_存储、内容、输出、标志);
如果(验证结果!=1){
转到自由出口;
}
//获取此邮件的签名者。从st1获取证书以及包含的任何发现的证书
//在消息中,将返回。
签名者=PKCS7_get0_签名者(PKCS7,st1,标志);
如果(!保存证书(环境、签名文件路径、签名者)){
//错误日志
}
//此方法将签名者证书写入提供的文件中
int save_certs(JNIEnv*env、jstring signerFilePath、堆栈(X509)*签名者)
{
int结果=0;
int i;
BIO*tmp;
int num_证书=0;
if(signerFilePath==NULL){
返回0;
}
const char*signerfile=(const char*)env->GetStringUTFChars(signerFilePath,0);
tmp=BIO_新_文件(签名文件,“w”);
如果(!tmp){
//错误。返回
}
证书数量=sk_X509_数量(签名者);
对于(i=0;iReleaseStringUTFChars(signerFilePath,signerfile);
signerfile=0;
}
返回结果;
}

我如何从巨大的pkcs7单信封中验证和提取数据?openssl中是否有任何选项,使其能够按块处理而不是不加载整个文件?我正在寻找一种不创建文件(仅管道和过滤器)就获取证书信息的方法,就是这样。因为我对证书本身不感兴趣,所以我执行最后一个命令
openssl pkcs7-print\u certs-noout