我目前正在尝试调用一个 API,该 API 需要我以 PKCS#7 格式放置 XML 数据。
此数据发布到 API 端点。
响应还以 PKCS#7 加密消息的形式出现(MIME 类型为 application/pkcs7-mime)。
他们提供的一些注释: 加密消息不包含任何证书链。不使用数据压缩。不使用数据加密。加密消息采用 OpenSSL PEM 格式。
我已经获得了两个证书。我创建了一个请求并拥有私钥,另一个由服务提供商提供给我。
我已经成功地安装了这些证书,并且可以与服务进行通信。
我似乎成功地将数据发送到此 API 服务。
现在我试图理解我从这个 API 收到的响应。
此响应看起来像这样
-----BEGIN PKCS7-----
WISGCSqGSIb3DQEHSqCSWISCSQExCzSJBgUrDgWCGgUSWISGCSqGSIb3DQEHSSCS
AfsdFAD3433423ASfdsdfdAfsdFAD3433423ASfdsdfdAfsdFAD3433423ASfdsd
WISGCSqGSIb3DQEHSqCSWISCSQExCzSJBgUrDgWCGgUSWISGCSqGSIb3DQEHSSCS
AfsdFAD3433423ASfdsdfdAfsdFAD3433423ASfdsdfdAfsdFAD3433423ASfdsd
WISGCSqGSIb3DQEHSqCSWISCSQExCzSJBgUrDgWCGgUSWISGCSqGSIb3DQEHSSCS
AfsdFAD3433423ASfdsdfdAfsdFAD3433423ASfdsdfdAfsdFAD3433423ASfdsd
WISGCSqGSIb3DQEHSqCSWISCSQExCzSJBgUrDgWCGgUSWISGCSqGSIb3DQEHSSCS
AfsdFAD3433423ASfdsdfdAfsdFAD3433423ASfdsdfdAfsdFAD3433423ASfdsd
WISGCSqGSIb3DQEHSqCSWISCSQExCzSJBgUrDgWCGgUSWISGCSqGSIb3DQEHSSCS
AfsdFAD3433423ASfdsdfdAfsdFAD3433423ASfdsdfdAfsdFAD3433423ASfdsd
WISGCSqGSIb3DQEHSqCSWISCSQExCzSJBgUrDgWCGgUSWISGCSqGSIb3DQEHSSCS
AfsdFAD3433423ASfdsdfdAfsdFAD3433423ASfdsdfdAfsdFAD3433423ASfdsd
WISGCSqGSIb3DQEHSqCSWISCSQExCzSJBgUrDgWCGgUSWISGCSqGSIb3DQEHSSCS
AfsdFAD3433423ASfdsdfdAfsdFAD3433423ASfdsdfdAfsdFAD3433423ASfdsd
WISGCSqGSIb3DQEHSqCSWISCSQExCzSJBgUrDgWCGgUSWISGCSqGSIb3DQEHSSCS
AfsdFAD3433423ASfdsdfdAfsdFAD3433423ASfdsdfdAfsdFAD3433423ASfdsd
-----END PKCS7-----
(我把内容弄乱了,因为里面有任何敏感的东西)
有了这个回应,我需要
- 验证数字签名以确保提供者发送了响应
- 从此响应中获取 Xml 格式的消息
我一直主要使用Bouncy Castle库和 MS SignedCms 类
总而言之,我一无所获。
请有人指导我在这里做什么,因为我已经在这工作了大约 5 天,而且进展不快。
以下是我目前正在做的一些事情:
提出请求
使用 HttpWebRequest 和 HttpWebResponse 我使用我提供的证书将数据发布到服务
var store = new X509Store(StoreLocation.LocalMachine);
store.Open(OpenFlags.ReadOnly | OpenFlags.OpenExistingOnly);
X509Certificate2 cert = store.Certificates.Find(X509FindType.FindByThumbprint, "ACLKJCLKJCLKJCLKJCLKJCLKJCLKJCLKJCLKJCLK", false)[0];
HttpWebRequest request = null;
var uri = new Uri(endPointUri);
request = (HttpWebRequest) WebRequest.Create(uri);
request.Method = "POST";
request.ContentType = "application/pkcs7-mime";
request.ContentLength = requestString.Length;
request.ClientCertificates.Add(cert);
using (Stream writeStream = request.GetRequestStream())
{
var encoding = new UTF8Encoding();
byte[] bytes = encoding.GetBytes(requestString);
writeStream.Write(bytes, 0, bytes.Length);
}
string result = null;
using (var response = (HttpWebResponse) request.GetResponse())
{
using (Stream responseStream = response.GetResponseStream())
{
if (responseStream != null)
{
using (var readStream = new StreamReader(responseStream, Encoding.UTF8))
{
result = readStream.ReadToEnd();
}
}
}
}
return result;
在这里,我从上面返回“BEGIN PKCS7”消息。
现在我想弄清楚如何处理这个
MS 签名 CMS 课程方法
SignedCms signedCms = new SignedCms();
signedCms.Decode(Encoding.Default.GetBytes(resultString));
try
{
signedCms.CheckSignature(new X509Certificate2Collection(cert1), true);
}
catch (System.Security.Cryptography.CryptographicException e)
{
_Log.Error(e.Message)
}
这会在“ASN1 bad tag value met”的“signedCms.Decode”上引发异常。
BouncyCastle ISigner
这里的文档是不存在的。
所以首先我将我的响应保存到一个文件并使用 TextReader 对象尝试使用 BouncyCastle 进行测试
using (TextReader reader = File.OpenText(@"c:\temp\resultString.txt"))
{
PemReader pemRd = new PemReader(reader);
ContentInfo d = (ContentInfo)pemRd.ReadObject();
Console.WriteLine(d.ContentType.ToString());
}
这将返回结果:“1.2.840.113549.1.7.2”据
我所知,这意味着它的“Pkcs7 签名数据”
呜呼,看起来它正在工作。
但是从这里,我如何验证,以及如何从中提取任何信息
我的验证尝试
using (TextReader reader = File.OpenText(@"c:\temp\resultString.txt"))
{
PemReader pemRd = new PemReader(reader);
var signature = new CmsSignedData(pemRd.ReadObject());
}
失败 - 签名为空
var store = new X509Store(StoreLocation.LocalMachine);
store.Open(OpenFlags.ReadOnly | OpenFlags.OpenExistingOnly);
X509Certificate2 cert = store.Certificates.Find(X509FindType.FindByThumbprint, "ACLKJCLKJCLKJCLKJCLKJCLKJCLKJCLKJCLKJCLK", false)[0]; //tried with both certs
ISigner signer = SignerUtilities.GetSigner("RSA");
var bouncyx509 = DotNetUtilities.FromX509Certificate(cert1);
signer.Init(true, DotNetUtilities.FromX509Certificate(cert1).GetPublicKey());
失败 - 需要私钥来创建签名者
结束时
我希望我已经提供了足够的信息来在这里获得一些帮助。
也许我正朝着完全错误的方向前进。
我的问题是:
- 如何验证数字签名?
- 如何从此响应中获取 Xml 格式的消息?
解决方案
感谢 gtrig,我终于有了解决方案。
使用 MS SignedCms 对象,我必须首先从消息中删除页眉和页脚,然后是 Convert.FromBase64String
工作解决方案
SignedCms signedCms = new SignedCms();
resultString = resultString.Replace("\n", "").Replace("-----BEGIN PKCS7-----", "").Replace("-----END PKCS7-----", "");
signedCms.Decode(Convert.FromBase64String(resultString));
现在 signedCms.ContentInfo.Content 包含我期望的响应 Xml 消息