Извлечение открытого сертификата из сообщения SMIME (pkcs7-signature) с помощью OpenSSL

Question

Извлечение открытого сертификата из сообщения SMIME (pkcs7-signature) с помощью OpenSSL

Как извлечь открытый сертификат из сообщения smime (pkcs7-signature) с помощью OpenSSL?

19

cryptography encryption openssl smime

автор: x2on

3 ответов

автор: Thomas Pornin · Accepted Answer · 2011-04-18 11:45:16

С помощью инструмента командной строки, предполагая, что само сообщение S/MIME находится в файле message:

openssl smime -verify -in message -noverify -signer cert.pem -out textdata

это записывает сертификат подписывающего лица (как встроенный в подпись blob) в cert.pem, и текстовые данные сообщения в .

кроме того, вы можете сохранить подпись blob как независимый файл (это просто своего рода вложение, поэтому любое почтовое приложение или библиотека должны быть в состоянии сделать это. Затем, предполагая, что указанный blob находится в файле с именем smime.p7s использовать:

openssl pkcs7 -in smime.p7s -inform DER -print_certs

который распечатает все сертификаты, которые встроены в подпись PKCS#7. Обратите внимание, что их может быть несколько: сам сертификат подписавшего и любые дополнительные сертификаты, которые подписавший нашел подходящими для включения (например, промежуточные сертификаты CA, которые могут помочь в проверке его сертификата).

автор: Franta · Accepted Answer · 2012-02-14 20:11:27

или так:

cat message.eml | openssl smime -pk7out | openssl pkcs7 -print_certs > senders-cert.pem

автор: kdas · Accepted Answer · 2014-07-26 02:50:08

Если вы пишете C / C++, этот фрагмент кода поможет

    //...assuming you have valid pkcs7, st1, m_store etc......

    verifyResult = PKCS7_verify( pkcs7, st1, m_store, content, out, flags);
    if(verifyResult != 1) {
        goto exit_free;
    }

    //Obtain the signers of this message. Certificates from st1 as well as any found included
    //in the message will be returned.
    signers = PKCS7_get0_signers(pkcs7, st1, flags);
    if (!save_certs(env, signerFilePath, signers)) {
        //Error log
    }

//This method will write the signer certificates into a file provided
int save_certs(JNIEnv *env, jstring signerFilePath, STACK_OF(X509) *signers)
{
    int result = 0;
    int i;
    BIO *tmp;
    int num_certificates = 0;

    if (signerFilePath == NULL) {
        return 0;
    }

    const char *signerfile = (const char *)env->GetStringUTFChars(signerFilePath, 0);
    tmp = BIO_new_file(signerfile, "w");
    if (!tmp) {
        //error. return
    }
    num_certificates = sk_X509_num(signers);
    for(i = 0; i < num_certificates; i++) {
        PEM_write_bio_X509(tmp, sk_X509_value(signers, i));
    }
    result = 1;

    exit_free:
    BIO_free(tmp);
    if (signerfile) {
        env->ReleaseStringUTFChars(signerFilePath, signerfile);
        signerfile = 0;
    }
    return result;
}