13

我需要从 pkcs7 签名文件中提取用户证书。我可以使用以下命令通过命令行执行此操作:

openssl pkcs7 -in somesign.pks7 -inform PEM -print_certs

这将为我提供整个证书链,我可以处理生成的文件以提取我想要的内容。

有没有办法用 openssl_pkcs7_ 命令做到这一点?我看到 openssl_pkcs7_verify 有 $outfilename 将存储证书,但我没有签名的消息,但似乎 $filename 应该有签名和消息,这不是我的情况(签名在单独的文件)。

4

2 回答 2

4

我不知道有一个带有简单 API 的 PHP 库。

我已经实现了几个库,但是可以帮助完成任务。asn1crypto-utilx509可通过 composer 获得。

这是从 PKCS7 PEM 文件中提取所有证书的基本概念证明:

<?php

use ASN1\Element;
use ASN1\Type\Constructed\Sequence;
use CryptoUtil\PEM\PEM;
use X509\Certificate\Certificate;

require __DIR__ . "/vendor/autoload.php";

$pem = PEM::fromFile("path-to-your.p7b");
// ContentInfo: https://tools.ietf.org/html/rfc2315#section-7
$content_info = Sequence::fromDER($pem->data());
// SignedData: https://tools.ietf.org/html/rfc2315#section-9.1
$signed_data = $content_info->getTagged(0)->asExplicit()->asSequence();
// ExtendedCertificatesAndCertificates: https://tools.ietf.org/html/rfc2315#section-6.6
$ecac = $signed_data->getTagged(0)->asImplicit(Element::TYPE_SET)->asSet();
// ExtendedCertificateOrCertificate: https://tools.ietf.org/html/rfc2315#section-6.5
foreach ($ecac->elements() as $ecoc) {
    $cert = Certificate::fromASN1($ecoc->asSequence());
    echo $cert->toPEM() . "\n";
}

ASN.1 处理非常容易出错。我已经省略了上面示例中的所有完整性检查,但是底层库会在错误时抛出异常。

我希望这能提供一些指导,以防有人需要在不依赖外部程序的情况下解析 PKCS #7 结构。

于 2017-06-12T10:07:45.987 回答
2

我已经通过exec()函数使用它了。

exec('../../apache/bin/openssl.exe pkcs7 -in D:/mypkcs7.p7b -inform DER -print_certs').

但我认为,最好的选择是使用 SMIME 文件的结构。您可以通过分析 OpenSSL 的源代码来获得结构。找到它可能很难,但是一旦找到它,您就可以在任何地方使用它。OpenSSL GitHub 源代码可 在此处获得

于 2017-06-12T08:07:41.207 回答