ruby - 使用 Adob​​e PKCS#7 证书在 Origami 中签名的 PDF 验证

Question

总结澄清:

使用折纸，从签名的 pdf 中提取证书(在例如 Adob​​e Reader 中签名)我无法验证签名:

origami = Origami::PDF.read(File.open('/path/to/file.pdf', 'r'))
pdf_signature = origami.signature[:Contents]
cert = OpenSSL::PKCS7.new(pdf_signature).certificates.first

origami.verify(trusted_certs: [cert]) #=> false

据我所知，这应该始终是正确的。那么，也许 Adob​​e 在签署 PDF 时使用了不同的字节范围，它需要一个 SHA？我如何让该验证工作？

如果有任何帮助，在对折纸大师进行更改后，我能够从 storecontext 中获得确切的 OpenSSL 错误:V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY - 我认为这意味着它来自 X509::Store 它设置。

完整背景

我正在尝试验证 PDF 的数字签名。这是我所拥有的:

我使用 Adob​​e Acrobat 签名的 PDF(尝试了 Pro 10 和 Reader DC)

key 是在 Acrobat Pro 中生成的，我可以访问 .p12，或者导出为 FDF、PKCS#7 或只是“证书文件”。还尝试通过 Apple 的“钥匙串(keychain)访问”加载此“证书文件”并将其导出为 .pem 这与 OpenSSL::PKCS7.new(File.read('/path/to/exported.p7c')).certificates.first.to_pem 的结果相同这给出了相同的结果:

openssl pkcs7 -print_certs -inform der -in pkcs7file.p7c -out certificate.cer

所以，我很确定我已经正确提取了证书。

此外，我可以验证 PDF 中嵌入了完全相同的证书 -

pdf_signature = origami.signature[:Contents]
OpenSSL::PKCS7.new(pdf_signature).certificates.first.to_pem #=> Same as above

使用 Origami gem，我尝试加载证书并尝试验证:

cert = OpenSSL::X509::Certificate.new(File.read('/path/to/pem.cer'))
Origami::PDF.read(File.open('/path/to/file.pdf', 'r')).verify(trusted_certs: [cert])

Origami 的输出确认文档已签名，但 verify(..)方法返回假。

请注意，处理 this excellent answer 中的代码工作正常，但它似乎只有在使用 openssl 生成 X.509 key 对时才有效(例如，根据该代码的 ruby​​-land 绑定(bind))。不幸的是，我需要使用用户机器上预先存在的 Adob​​e 祝福签名。

也就是说，除此之外，我几乎没有什么限制；我可以要求用户以对我们有用的任何其他方式导出他们的证书(如果需要，我什至可以在他们的机器上运行一些简单的代码)，但我不能在过程中传输私钥。我不必使用 Origami 进行验证，但它必须是可从 ubuntu 服务器上的 ruby​​ 访问的命令。用户都在使用最新软件的 Mac 上运行。

Answer 1

我比原来的问题更进一步，但不是很多:

证书需要正确的扩展名

原代码中from Harry Fairbanks' very useful answer,扩展是最重要的:

extension_factory = OpenSSL::X509::ExtensionFactory.new
extension_factory.issuer_certificate = cert
extension_factory.subject_certificate = cert

cert.add_extension extension_factory.create_extension('basicConstraints', 'CA:TRUE', true)
cert.add_extension extension_factory.create_extension('keyUsage', 'digitalSignature,keyCertSign')
cert.add_extension extension_factory.create_extension('subjectKeyIdentifier', 'hash')

所以...在该答案的其余部分之后，如果您将证书保存到 pemfile，则扩展名也不会被保存。

我能够创建一个 PDF，使用从 Acrobat 阅读器导出的 key 使用 Origami 对其进行签名，然后执行以下操作:

cert = OpenSSL::PKCS7.new(pdf_signature).certificates.first

origami.verify(trusted_certs: [cert]) #=> false

## ... then run the extension factory snippet above

origami.verify(trusted_certs: [cert]) #=> true

成功!事实上，即使是 Adob​​e Acrobat Reader 也很高兴——这与 Origami 生成的自签名证书无关。

...但是，当我使用 Adob​​e Acrobat Reader 签署文档时，使用相同的 key ，对证书执行相同的魔法咒语，我仍然得到 false从验证电话。

注意:有人告诉我这实际上对某些人有效。不知道为什么它对我来说失败了——当我有机会玩的时候，会再试一次。暂时将其标记为已回答!