我手头有问题。我不懂 Java 的同事正在使用 OpenSSL 命令对文件进行签名,如下所示:
openssl smime -binary -sign -certfile WWDR.pem -signer passcertificate.pem \
-inkey passkey.pem -in manifest.json -out signature -outform DER \
-passin pass:12345
如您所见,此处提供了三个文件给 openssl 命令以生成签名。
现在我们想使用 Java 复制相同的功能,因为我们假设要签名的内容将是动态的,并且本质上是服务器端的。我读到 BouncyCastle 是要走的路。但我不确定如何使用该库。我对密码学技术也不是很熟悉。我无法理解如何使用上述所有三个文件来登录内容manifest.json。
如果有人可以指导我找到正确的代码或给我一个开始,我将非常感谢你的努力。
我还必须在 java 中复制该 openssl 命令,这就是我完成它的方式。无需使用运行时。
public byte[] signMobileConfig(byte[] mobileconfig)
throws CertificateEncodingException, PEMException, FileNotFoundException, IOException, CertificateException, OperatorCreationException, CMSException {
Security.addProvider(new BouncyCastleProvider());
X509CertificateHolder caCertificate = loadCertfile();
JcaX509CertificateConverter certificateConverter = new JcaX509CertificateConverter();
X509Certificate serverCertificate = certificateConverter.getCertificate(loadSigner());
PrivateKeyInfo privateKeyInfo = loadInKey();
PrivateKey inKey = new JcaPEMKeyConverter().getPrivateKey(privateKeyInfo);
ContentSigner sha1Signer = new JcaContentSignerBuilder("SHA1withRSA").setProvider("BC").build(inKey);
CMSSignedDataGenerator generator = new CMSSignedDataGenerator();
JcaDigestCalculatorProviderBuilder digestProviderBuilder = new JcaDigestCalculatorProviderBuilder().setProvider("BC");
JcaSignerInfoGeneratorBuilder generatotBuilder = new JcaSignerInfoGeneratorBuilder(digestProviderBuilder.build());
generator.addSignerInfoGenerator(generatotBuilder.build(sha1Signer, serverCertificate));
generator.addCertificate(new X509CertificateHolder(serverCertificate.getEncoded()));
generator.addCertificate(new X509CertificateHolder(caCertificate.getEncoded()));
CMSProcessableByteArray bytes = new CMSProcessableByteArray(mobileconfig);
CMSSignedData signedData = generator.generate(bytes, true);
return signedData.getEncoded();
}
这是我加载文件的方式:
public X509CertificateHolder loadSigner() throws FileNotFoundException, IOException {
InputStream inputStream = externalResourcesFacade.getResourceAsStream("path/to/.crt");
PEMParser parser = new PEMParser(new InputStreamReader(inputStream));
return (X509CertificateHolder) parser.readObject();
}
public PrivateKeyInfo loadInKey() throws FileNotFoundException, IOException {
InputStream inputStream = externalResourcesFacade.getResourceAsStream("path/to/.key");
PEMParser parser = new PEMParser(new InputStreamReader(inputStream));
return (PrivateKeyInfo) parser.readObject();
}
public X509CertificateHolder loadCertfile() throws FileNotFoundException, IOException {
InputStream inputStream = externalResourcesFacade.getResourceAsStream("path/to/.crt");
PEMParser parser = new PEMParser(new InputStreamReader(inputStream));
return (X509CertificateHolder) parser.readObject();
}
这是我的文件映射:
myCrtFile.crt -> signerCertHolder
myKeyFile.key -> privateKeyInfo
bundleCertificate.crt -> certificateHolder
首先,不要因为难以理解 BouncyCastle 而感到难过。这是一个非常有用的 API,但它的文档记录很差。最好的办法是四处搜索可以教您如何使用 API 的示例。
因为我之前没有将 BouncyCastle 用于 SMIME(我主要将它用于 PGP 和/或 JCE),所以对“ bouncycastle smime example”的简短搜索让我进入了这个页面,特别是这个例子。
希望这是一个好的开始,进一步的谷歌搜索将有助于理解正在使用的 API 类。我怀疑仅这个例子就能让你完成 80% 的工作。
如果对输入文件的用途有任何混淆:
-certfile WWDR.pem-这是在消息中指定的附加证书。签名消息的接收者在验证签名时会考虑此证书。
-signer passcertificate.pem-这是与您的签名密钥直接对应的证书。
-inkey passkey.pem-这是您的签名密钥
因此,如果有人想知道我是如何解决上述问题的,那么我就是这样做的:
我使用了 Java 的 Runtime 对象!
String openSSLCommand = openssl smime -binary
-sign -certfile WWDR.pem -signer passcertificate.pem
-inkey passkey.pem -in manifest.json -out signature -outform DER
-passin pass:12345
Process process = Runtime.getRuntime().exec(openSSLCommand);
谢谢大家