8

所以我将一个 ruby​​ 库移植到 node.js,并且需要创建一个 PKCS7 签名。

这是 ruby​​ 库正在做的事情:

p12_certificate = OpenSSL::PKCS12::new(File.read('some-path.c12'), self.certificate_password)
x509_certificate = OpenSSL::X509::Certificate.new(File.read('some-other-path.pem'))


flag = OpenSSL::PKCS7::BINARY|OpenSSL::PKCS7::DETACHED
signed = OpenSSL::PKCS7::sign(p12_certificate.certificate, p12_certificate.key, File.read('some-manifest'), [x509_certificate], flag)

我将如何在节点中实现相同的目标?我认为它会是这样的:

crypto.createCredentials({
  pfx : fs.readFileSync('some-cert.p12'),
  passphrase : this.certificate_password,
  cert : fs.readFileSync('some-path.pem','some-encoding'),
})

问题:

  • 这是正确的方法吗?
  • 我是否需要指定密钥、ca 列表、crl 列表或密码列表?
  • 我应该使用什么编码来读取证书?
  • 线设置的节点等价物是什么signed
  • 节点等价于什么signed.to_der
4

3 回答 3

1

这段代码可以帮助你。专为 PKCS7 设计,但您可以根据需要修改 de openssl 命令行。

    var util = require('util');
var spawn = require('child_process').spawn;
var Promise = require('promise');

// Expose methods.
exports.sign = sign;

/**
 * Sign a file.
 *
 * @param {object} options Options
 * @param {stream.Readable} options.content Content stream
 * @param {string} options.key Key path
 * @param {string} options.cert Cert path
 * @param {string} [options.password] Key password
 * @param {function} [cb] Optional callback
 * @returns {object} result Result
 * @returns {string} result.pem Pem signature
 * @returns {string} result.der Der signature
 * @returns {string} result.stdout Strict stdout
 * @returns {string} result.stderr Strict stderr
 * @returns {ChildProcess} result.child Child process
 */

function sign(options, cb) {
    return new Promise(function (resolve, reject) {
        options = options || {};

        if (!options.content)
            throw new Error('Invalid content.');

        if (!options.key)
            throw new Error('Invalid key.');

        if (!options.cert)
            throw new Error('Invalid certificate.');

        var command = util.format(
            'openssl smime -sign -text -signer %s -inkey %s -outform DER -nodetach',
            options.cert,
            options.key
        );

        if (options.password)
            command += util.format(' -passin pass:%s', options.password);

        var args = command.split(' ');
        var child = spawn(args[0], args.splice(1));

        var der = [];

        child.stdout.on('data', function (chunk) {
            der.push(chunk);
        });

        child.on('close', function (code) {
            if (code !== 0)
                reject(new Error('Process failed.'));
            else
                resolve({
                    child: child,
                    der: Buffer.concat(der)
                });
        });

        options.content.pipe(child.stdin);
    })
        .nodeify(cb);
}

我的文件名为:signHelper。这是调用它的代码:

signHelper.sign({
            content: s, 
            key: path.join(__dirname, '../certs/test/' + "keyfile.key")//,
            cert: path.join(__dirname, '../certs/test/' + "certfile.crt"),
            password: 'password'
        }).catch(function (err) {
            logger.error("Error signing: " + err.stack);
            callback(err);
        }).then(function (result) {
            logger.info("signTicket ++++++++++++");
            callback(null, result.der); //result.der is the signed certificate
        });

您只需要了解如何使用 openssl 做您需要的事情。我希望这个对你有用。

于 2015-02-20T14:26:56.633 回答
0

目前无法在 node 或 iojs 中本地执行此操作,您可以做的最好的事情是使用smime 模块运行 exec 命令,例如。

于 2015-01-23T09:49:02.053 回答
0

验证 PKCS#7 (PEM) 签名/解压 node.js 中的数据

不能评论超过链接,但希望这可以让你开始。这只是验证签名,但是我相信您可以将其反向工程为创建一个。

于 2013-05-07T13:23:58.717 回答