PKCS7-Unterzeichnerkette in Python erhalten

Question

Ich habe eine PKCS7-Nachricht, die signiert ist. Es enthält ein Daten- und ein Signaturzertifikat (mit der gesamten Vertrauenskette).

Ich habe einen Code, der m2crypto verwendet, um ein Zertifikat daraus zu erhalten.

bio = BIO.MemoryBuffer(pkcs7message) 
p7 = SMIME.PKCS7(m2.pkcs7_read_bio_der(bio._ptr())) 
sk = X509.X509_Stack() 
certStack = p7.get0_signers(sk) 

Es funktioniert. Allerdings gibt certStack nur ein Zertifikat (statt der gesamten Kette von Zertifikaten Rückkehr

Zwei Fragen:.

• bin ich etwas fehlt (kann es eine Option ist es zu wissen, dass ich die ganze brauchen Kette)
• gibt es andere Methoden, wie die gesamte Kette zu erhalten (unter Verwendung von pyopenssl werden)?

Answer 1

ich denke, man eine Verwirrung zwischen signers machen und Zertifikatskette eines signer. PKCS7_get0_signers die Liste der Unterzeichner zurückkehren

Um eine PKCS7 Nachricht mit 2 signers zu erstellen, können Sie folgende Schritte ausführen:

1. Build-Schlüssel und das Zertifikat für den ersten Unterzeichner:

   openssl genrsa -out key1.pem 
   openssl req -new -key key1.pem -subj "/CN=key1" | openssl x509 -req -signkey key1.pem -out cert1.pem 
   

2. Build-Schlüssel und das Zertifikat für die zweite Unterzeichner:

   openssl genrsa -out key2.pem 
   openssl req -new -key key2.pem -subj "/CN=key2" | openssl x509 -req -signkey key2.pem -out cert2.pem 
   

3. Erstellen Sie eine PKCS7-Nachricht mit beiden sig ners:

   echo "Hello" | openssl smime -sign -nodetach \ 
       -out signature.der -outform DER \ 
       -inkey key1.pem -signer cert1.pem -inkey key2.pem -signer cert2.pem 
   

Dann signers gedruckt Ihren Python-Skript ausgeführt werden:

from M2Crypto import * 

bio=BIO.File(open('signature.der')) 
smime_object = SMIME.PKCS7(m2.pkcs7_read_bio_der(bio._ptr()))  
signers = smime_object.get0_signers(X509.X509_Stack()) 

for cert in signers: 
    print(cert.get_issuer().as_text()) 

Es gibt den Emittenten signers:

CN = Schlüssel1
CN = key2