c# - 在 itextsharp 中 Pades LTV 验证抛出 The Uri Prefix is not Recognized

Question

我已成功签署一份支持 LTV 的 pdf。我可以通过 Adob​​e Acrobat Reader 和外部验证器检查 pdf 和 LTV 签名是否有效。

我正在尝试使用 iTextSharp 5.5.10 进行相同的验证。

我正在关注 iText 示例代码 C5_06

但是当我调用 ltvVerifier.Verify 时，我得到了一个 System.NotSupportedException，Uri 前缀未被识别。我正在加载用于签署 pdf en cert 参数的证书。

验证码:

   public static bool Validate(byte[] pdfIn, X509Certificate2 cert)
    {
        using (var reader = new PdfReader(pdfIn))
        {
            var fields = reader.AcroFields;
            var signames = fields.GetSignatureNames();

            if (!signames.Any(n => fields.SignatureCoversWholeDocument(n)))
                throw new Exception("None signature covers all document");

            var verifications = signames.Select(n => fields.VerifySignature(n));

            var invalidSignature = verifications.Where(v => !v.Verify());
            var invalidTimeStamp = verifications.Where(v => !v.VerifyTimestampImprint());

            if (invalidSignature.Any())
                throw new Exception("Invalid signature found");
        }

        using (var reader = new PdfReader(pdfIn))
        {
            var ltvVerifier = new LtvVerifier(reader)
            {
                OnlineCheckingAllowed = false,
                CertificateOption = LtvVerification.CertificateOption.WHOLE_CHAIN,
                Certificates = GetChain(cert).ToList(),
                VerifyRootCertificate = false,
                Verifier = new MyVerifier(null)
            };

            var ltvResult = new List<VerificationOK> { };
            ltvVerifier.Verify(ltvResult);

            if (!ltvResult.Any())
                throw new Exception("Ltv verification failed");
        }
        return true;
   }

从证书链构建 X509Certificates 列表的辅助函数:

    private static X509.X509Certificate[] GetChain(X509Certificate2 myCert)
    {
        var x509Chain = new X509Chain();
        x509Chain.Build(myCert);

        var chain = new List<X509.X509Certificate>();
        foreach(var cert in x509Chain.ChainElements)
        {
            chain.Add(
                DotNetUtilities.FromX509Certificate(cert.Certificate)
                );
        }

        return chain.ToArray();
    }

自定义验证器，刚刚从示例中复制:

 class MyVerifier : CertificateVerifier
{
    public MyVerifier(CertificateVerifier verifier) : base(verifier) { }

    override public List<VerificationOK> Verify(
        X509.X509Certificate signCert, X509.X509Certificate issuerCert, DateTime signDate)
    {
        Console.WriteLine(signCert.SubjectDN + ": ALL VERIFICATIONS DONE");
        return new List<VerificationOK>();
    }
}

这是相关的堆栈跟踪:

  in System.Net.WebRequest.Create(Uri requestUri, Boolean useUriBase)
   in System.Net.WebRequest.Create(String requestUriString)
   in iTextSharp.text.pdf.security.CrlVerifier.GetCrl(X509Certificate signCert, X509Certificate issuerCert)
   in iTextSharp.text.pdf.security.CrlVerifier.Verify(X509Certificate signCert, X509Certificate issuerCert, DateTime signDate)
   in iTextSharp.text.pdf.security.OcspVerifier.Verify(X509Certificate signCert, X509Certificate issuerCert, DateTime signDate)
   in iTextSharp.text.pdf.security.LtvVerifier.Verify(X509Certificate signCert, X509Certificate issuerCert, DateTime sigDate)
   in iTextSharp.text.pdf.security.LtvVerifier.VerifySignature()
   in iTextSharp.text.pdf.security.LtvVerifier.Verify(List`1 result)

谢谢。

Answer 1

问题是签名者证书链中的证书提供了两个用于 CRL 下载的 URI，第一个是 ldap URI，然后是一个 http URI，cf. @Egl 对您的问题的评论，但 iText 假定它可以简单地获取第一个给定的 URI 并使用 System.Net.WebRequest 来请求其内容。

不幸的是，开箱即用的 WebRequest 仅支持 http:、https:、ftp: 和 file:(参见 this msdn page)。因此，iText 尝试通过 ldap 请求 CRL 失败，并出现 iText 未捕获的 Exception。

您可以通过以下方式完成这项工作

• 要么注册一个 ldap WebRequest 处理程序(参见 this msdn page)。

  警告:虽然 msdn 页面表明可以执行类似的操作，但我还没有这样做。此外，OP 无法轻易遵循这条道路。因此，可能存在超出 msdn 文档描述范围的限制。可能只能使用 web-ish 协议(protocol)(ftp:、file:、http:、https:)？

• 或更改 iText 验证器(实际上更改 iText 类或复制/派生自己的 CrlVerifier 和 LtvVerifier 变体)以使用 http-URI。

  这可以通过捕获此类异常然后继续下一个 CRL 请求 URI 或(如 OP 所做的那样)通过完全忽略 ldap URI(在 CertificateUtil.GetCRLURL 中过滤)来实现.