必须传递CMSSignedData对象中的哪些数据才能生成有效的时间戳

我有一个有效的PKCS7文件加载到CMSSignedData对象中。此PKCS7文件包括一条纯文本消息和一个有效的附加数字签名（均在同一文件中）。

现在我想给这个文件加上时间戳。这是我正在使用的代码（来源）：

 private static CMSSignedData addTimestamp(CMSSignedData signedData)
throws Exception {
        Collection ss = signedData.getSignerInfos().getSigners();
        SignerInformation si = (SignerInformation) ss.iterator().next();
        TimeStampToken tok = getTimeStampToken();
        ASN1InputStream asn1InputStream = new ASN1InputStream
(tok.getEncoded());
        DERObject tstDER = asn1InputStream.readObject();
        DERSet ds = new DERSet(tstDER);
        Attribute a = new Attribute(new
DERObjectIdentifier("1.2.840.113549.1.9.16.2.14"), ds);
        DEREncodableVector dv = new DEREncodableVector();
        dv.add(a);
        AttributeTable at = new AttributeTable(dv);
        si = SignerInformation.replaceUnsignedAttributes(si, at);
        ss.clear();
        ss.add(si);
        SignerInformationStore sis = new SignerInformationStore(ss);
        signedData = CMSSignedData.replaceSigners(signedData, sis);
        return signedData;
    }

 private static TimeStampToken getTimeStampToken() throws
Exception {
        Security.addProvider (new
org.bouncycastle.jce.provider.BouncyCastleProvider());
        PostMethod post = new PostMethod("http://My-TrustedTimeStampProvier.com");
// I'm omitting the part where I pass the user and password
        TimeStampRequestGenerator reqGen = new TimeStampRequestGenerator();
        //request TSA to return certificate
        reqGen.setCertReq (true); // In my case this works
        //make a TSP request this is a dummy sha1 hash (20 zero bytes)
        TimeStampRequest request =
            reqGen.generate(TSPAlgorithms.SHA1, new byte[20], BigInteger.valueOf(100));
        byte[] enc_req = request.getEncoded();
        ByteArrayInputStream bais = new ByteArrayInputStream(enc_req);
        post.setRequestBody(bais);
        post.setRequestContentLength (enc_req.length);
        post.setRequestHeader("Content-type","application/timestamp-query");
        HttpClient http_client = new HttpClient();
        http_client.executeMethod(post);
        InputStream in = post.getResponseBodyAsStream();
        //read TSP response
        TimeStampResponse resp = new TimeStampResponse (in);
        resp.validate(request);
        TimeStampToken  tsToken = resp.getTimeStampToken();       
        return tsToken;
    }  

我可以获得一个有效的TimeStamp，并将其放入我的CMSSignedData对象中，然后将其保存到一个文件中，将signedData.getEncoded（）中的字节写入硬盘。但是当我用第三方软件验证我的新的带有时间戳的文件时，这个软件会告诉原始签名是可以的，但时间戳与签名不符。这个软件还可以向我显示原始的纯文本消息。

我认为问题出在这一行：

TimeStampRequest request =
    reqGen.generate(TSPAlgorithms.SHA1, new byte[20], BigInteger.valueOf(100));

我想我必须传递一个摘要，而不是一个伪字节数组，但我不知道哪个摘要，或者我必须timeStamp的正确字节是什么。我可以成功地从我的signedData中获取并验证SignerInformation对象。然后我尝试将mySignerInformation.getSignature()中的字节传递给reqGen.generate()函数。时间戳验证失败。然后我通过了mySignerInformation.getSignature()的Sha1摘要，但时间戳验证再次失败。

RFC3161规范规定：

2.4.1.请求格式

时间戳请求如下：

TimeStampReq:：=序列｛版本整数｛v1（1）｝，messageImprint messageImprint，--哈希算法OID和要进行的数据的哈希值

（…）

messageImprint字段应该包含要时间戳。散列表示为八位字符串。其
length必须与该算法的哈希值的长度匹配
（例如对于SHA-1为20字节或对于MD5为16字节）。

MessageImprint:：=序列{hashAlgorithm算法标识符，hashedMessage八位字符串｝

但是，如果我想对CMSSignedData对象内的字节进行TimeStamp，它不会告诉我在哪里或如何获得MessageImprint数据。

我是这个数字签名领域的新手。