2

我正在尝试使用 X509 证书创建 XMLDSig。我从 MS ( http://msdn.microsoft.com/en-us/library/system.security.cryptography.xml.x509issuerserial.aspx ) 运行逐字示例,它生成下面的 XML。XML 的问题在于 X509SerialNumber 字段太长而不能成为 int,而这正是 XSD 指定它必须的。因此,当我尝试对签名进行 XSD 验证时,它会失败。

我收到的错误消息是:“ http://www.w3.org/2000/09/xmldsig#:X509SerialNumber ”元素无效 - 值“72620403068401703770138453672807553309”根据其数据类型“ http://www. w3.org/2001/XMLSchema:integer ' - 字符串 '72620403068401703770138453672807553309' 不是有效的整数值。

如何获得 X509SerialNumber 的正确值?

提前致谢!

<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
  <SignedInfo>
    <CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" />
    <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
    <Reference URI="">
      <Transforms>
        <Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
      </Transforms>
      <DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
      <DigestValue>zSI5ZAMmQ+8u7R2rP7aAPT6nNQw=</DigestValue>
    </Reference>
  </SignedInfo>
  <SignatureValue>Tx4rqqDae4vdi5sTjARf0AlBiIGWnx2D8ET+ogGD9FtjrX4ZuYlsOG03Zk5KPKDpC/T45XlWaZpZdCtvAWtv0zwL1/jXxlU2BomQFNXm7rb9YoqlTh8nISStiZKizhmMQynW6GRsXGIpkK37Hnip4c8H1U+eSC/taKW4oyUmg40W64+ZyntovpBt2GqIJQu4AFvMfiF2azV9pg/qZ7IYNOgwmrUG6F0t2RhT2hqR9YRePjrfyIebZvYrLwjTQPXGOzzc2utRILAEhzGNSqsvpf5YeVrmuX75E8Zs3JuaicXu4mgDPYxNNVE2membNQMl6ggllfFjxPnvIofbb/KJ4Q==</SignatureValue>
  <KeyInfo>
    <X509Data>
      <X509IssuerSerial>
        <X509IssuerName>CN=XMLDSIG_Test</X509IssuerName>
        <X509SerialNumber>72620403068401703770138453672807553309</X509SerialNumber>
      </X509IssuerSerial>
      <X509Certificate>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</X509Certificate>
    </X509Data>
  </KeyInfo>
</Signature>

我正在使用来自以下 URL 的 XSD:

http://www.w3.org/2000/09/xmldsig#

这是我验证 XSD 的代码:

    XmlElement xmlDigitalSignature = signedXml.GetXml();

    var xEl = XElement.Parse(xmlDigitalSignature.OuterXml);
    var xDoc = XDocument.Load(xEl.CreateReader());

    XSDValidator.ValidateSignature(xDoc);


public class XSDValidator
{
    public static void ValidateSignature(XDocument document)
    {
        var schemaSet = new XmlSchemaSet();
        var assm = Assembly.GetExecutingAssembly();
        using (var stream = assm.GetManifestResourceStream("JayTest1.XMLSignature.xsd"))
        {
            schemaSet.Add(XmlSchema.Read(stream, null));
        }
        var isValid = true;
        string errorMessage = null;

        document.Validate(schemaSet, (o, e) =>
        {
            errorMessage = e.Message;
            isValid = false;
        });
        if (!isValid)
        {
            Console.WriteLine("XSD is not valid: " + errorMessage);
        }
        else
        {
            Console.WriteLine("GOOD!");
        }
    }
}
4

2 回答 2

1

根据RFC 5280 , 序列号可以预期包含长整数:

证书用户必须能够处理最多 20 个八位字节的序列号值。符合标准的 CA 不得使用超过 20 个八位字节的 serialNumber 值。

(关于序列号的第 4.1.2.2 节)

您的序列号7262040306 8401703770 1384536728 07553309只有 38 位数字,即使它们是十六进制数字,也可以轻松地放入 20 字节长的整数中。

XML 签名语法和处理(第二版)(和模式文件)中,元素X509SerialNumber被定义为

<element name="X509SerialNumber" type="integer"/>

根据定义,integer它允许任意整数值:

整数是通过将fractionDigits的值固定为 0从十进制派生而来的。这导致了整数的标准数学概念。整数的值空间是无限集{...,-2,-1,0,1,2,...}。整数的基本类型是十进制。

XML Schema Part 2: Datatypes的第 3.3.13 节)

因此,您可能想要检查您的架构文件或您的 XSD 验证器。

编辑

虽然您的代码基于XML 签名语法和处理而不是XML 签名语法和处理(第二版),但我的回答是,这并没有什么区别,因为在这两种情况下X509SerialNumber都被定义为integer没有进一步限制。

因此,这是您的验证器的问题。我不知道这是一个错误还是仅仅是一些配置或定制问题。

于 2013-03-06T12:11:15.797 回答
0

.NET XSD 验证器xs:integer尝试通过将其解析为 C# decimal( https://referencesource.microsoft.com/#System.Xml/System/Xml/Schema/DataTypeImplementation.cs,2874 , https://referencesource .microsoft.com/#System.Xml/System/Xml/XmlConvert.cs,3e8716fb1936c48d)。

十进制的范围为正 79,228,162,514,264,337,593,543,950,335 到负 79,228,162,514,264,337,593,543,950,335 ( https://docs.microsoft.com/en-us/dotnet/api/system.decimal?view=netframework-4.7 ),或 2 位。

此限制确实超过了http://www.w3.org/TR/2001/REC-xmlschema-2-20010502/#decimal的最小值:

注意:所有·最低限度符合·处理器·必须·支持十进制数,至少有 18 个十进制数字(即,有 18 个·totalDigits)。但是,··最低限度符合··处理器··可能·对它们准备支持的最大十进制位数设置应用程序定义的限制...

如果您觉得这阻碍了这些类型的有效使用(不仅仅是测试场景,尽管这些也很重要)https://github.com/dotnet/corefx/issues/将是搜索要投票的问题的地方(或找不到,创建一个新的)。

于 2017-05-22T18:01:50.290 回答