为了签署 PDF,我使用了 signDetached。
...
OcspClient ocspClient = new OcspClientBouncyCastle();
MakeSignature.signDetached(appearance, digest, pks, chain, crlList, ocspClient, tsaClient, estimatedSize, subfilter);
PDF 签名没有错误,但缺少嵌入式 OCSP 响应:
- OCSP 服务器正常工作,但
- 我正在使用的 CA 使用受信任的 responderCert(与 issuerCert 不同)签署 OCSP 响应。
我如何在不验证 OCSP 响应的情况下强制 signDetached 嵌入 OCSP 状态(或传递给 signDetached responseerCert 以信任)?
而且
当我尝试通过 com.itextpdf.text.pdf.security.OCSPVerifier 验证 OCSP 状态时,我收到错误消息:
Java::JavaSecurity::SignatureException: certificate does not verify with supplied key
在这种情况下,我们使用瑞士政府 CA:
Swiss Government Root CA I
`- Swiss Government Enhanced CA 01 < issuer certificate
`- Mor... < signature certificate
OCSP 响应由以下人员签名:
Swiss Government Root CA II
`- Swiss Government SSL CA 01
`- Swiss Government OCSP < OCSP responderCert
根证书和中间证书可在此处获得:
- https://www.bit.admin.ch/adminpki/00247/00790/index.html?lang=de (SG Root CA I)
- https://www.bit.admin.ch/adminpki/00247/05329/index.html?lang=de (SG Root CA II)