PDF OID 中的数字签名时间戳和吊销信息
我们已经有一个完整的电子签名 PKI 设置。我们颁发符合 CCA India 的用户端证书,该证书进一步用于电子签名。在发布电子签名 CMS 响应 PDF 实用程序后,在 PDF 中标记此响应以对文档进行数字签名。
现在对于来自 CCA 的新更改请求,需要使用 CRL 和 OCSP 构建 1.2.840.113583.1.1.8 OID,并使用 Java 中的充气城堡 API 构建数字签名时间戳。
以下是变更说明
在 PKCS7 签名格式的情况下,所有颁发者证书直至根 CA 证书和每个颁发者证书的 CRL/OCSP 响应都应包含在响应中。如果 CRL 条目的数量超过 5 个,则只允许 OCSP 响应。签名还应使用 CA 的时间戳服务进行时间戳。撤销信息应包含在 pdfRevocationInfoArchival (1.2.840.113583.1.1.8) 下
我们正在使用 bouncy castle API 来构建证书并在 HSM 中对其进行签名,但是对于此更改请求,我们无法了解此时间戳更改将集成到何处。CCA 希望签名颁发者将对签名加时间戳并将其嵌入到 CMS 响应中。但这也可以在客户端完成,因为首先对哈希进行签名,然后对签名哈希进行时间戳并将其嵌入响应中。这是正确的方法吗?
任何帮助,将不胜感激...