我用X509Chain.Build(X509Certificate2(方法验证证书。如果证书有效,我使用 Pkcs11互操作库对数据进行签名。任何有兴趣的用户都可以下载此签名自行验证。但他们也应该能够检查证书的有效性。
我现在正在编写一些测试工具,该工具将获取所有这些文件并检查有效性。但是为了验证证书,我需要签名创建日期。是否可以从签名中获取此日期?
现在,我将签名创建日期存储在表中的单独字段中。但我真的认为签名包含创建日期。至少我希望如此。
我正在验证证书,然后如果可以,我使用下一个代码对一些数据进行签名。
var privateKeys = session.FindAllObjects(SignSettings.PrivateKeyAttributes);
var mechanism = session.Factories.MechanismFactory.Create(CKM.CKM_GOSTR3411);
byte[] hash = session.Digest(mechanism, data);
var signMechanism = session.Factories.MechanismFactory.Create(CKM.CKM_GOSTR3410);
var signature = session.Sign(signMechanism, privateKeys[0], hash);
return signature;
然后我将此签名与签名数据存储在数据库中
在我的测试签名检查器应用程序中,我使用 X509Chain 来检查证书是否有效。
var chain = X509Chain.Create();
var policy = chain.ChainPolicy;
policy.RevocationMode = X509RevocationMode.Offline;
policy.RevocationFlag = X509RevocationFlag.EndCertificateOnly;
policy.VerificationTime = @signatureDate;
policy.UrlRetrievalTimeout = UrlRetrievalTimeout;
chain.Build(cert);
return chain;
使用常规 PKCS#11 调用,您将获得没有任何额外属性的纯签名。
要将签名日期嵌入签名,您必须使用 PKCS#7 消息传递功能。
据我记得你之前的问题,你正在使用ruToken。
看看他们自己在 .Net 中使用 PKCS#11 扩展的示例:
byte[] signature = session.PKCS7Sign(SampleData.PKCS7_SignDataBytes,
certificates[0], privateKeys[0], null, SampleConstants.UseHardwareHash);
然后,您可以使用 EnvelopedCms 或 SignedCms 获取签名属性 SignerInfo.SignedAttributes 其中一个是签名时间。