c# - 通过证书签署 PDF 文档
问题描述
我正在尝试使用 Syncfusion 对 PDF 文档进行数字签名。(用于生成 pdf 文档的库)
整个文档,而不仅仅是字段。我对签名或证书一无所知。
我知道证书是 HSM 的类型,所以我使用了:
Syncfusion - Externally sign a pdf document
它适用于我的开发 PC,但不适用于生产。找到证书,但在签署文件时会导致:
CryptographicException: Unknown error „-1073741823“ at System.Security.Cryptography.Pkcs.SignedCms.Sign(CmsSigner signer, Boolean silent)
我的代码:
using Syncfusion.Licensing;
using Syncfusion.Pdf;
using Syncfusion.Pdf.Graphics;
using Syncfusion.Pdf.Parsing;
using Syncfusion.Pdf.Security;
using System;
using System.Collections.Generic;
using System.IO;
using System.Linq;
using System.Security.Cryptography;
using System.Security.Cryptography.Pkcs;
using System.Security.Cryptography.X509Certificates;
using System.Text;
using System.Threading.Tasks;
namespace SyncfusionTest3
{
class Program
{
public static X509Certificate2 infoCertifikat = null;
static void Main(string[] args)
{
var store = new System.Security.Cryptography.X509Certificates.X509Store(StoreLocation.LocalMachine);
string thumbprint = "9F.."; //Production
store.Open(OpenFlags.ReadOnly);
foreach (var mCert in store.Certificates)
{
if (mCert.Thumbprint.ToUpper().Equals(thumbprint.ToUpper()))
infoCertifikat = mCert;
}
if (infoCertifikat == null)
{
Console.WriteLine("404 Certificate not found");
Console.ReadKey();
return;
}
string licenceKey = "LicenceKey";
SyncfusionLicenseProvider.RegisterLicense(licenceKey);
using (var pdfDoc = new PdfLoadedDocument("document.pdf"))
{
pdfDoc.DocumentInformation.Creator = "Me";
pdfDoc.DocumentInformation.Author = "Naxi";
PdfCertificate pdfCertificate = new PdfCertificate(infoCertifikat);
//Normal signing
//Syncfusion.Pdf.Security.PdfSignature signature1 = new Syncfusion.Pdf.Security.PdfSignature(pdfDoc, pdfDoc.Pages[0], pdfCertificate, "DigitalSign");
//External signing becouse of HSM type of certificate
Syncfusion.Pdf.Security.PdfSignature signature1 = new Syncfusion.Pdf.Security.PdfSignature(pdfDoc, pdfDoc.Pages[0], null, "DigitalSign");
signature1.ComputeHash += Signature_ComputeHash1;
signature1.Bounds = new System.Drawing.RectangleF((6 * 25.4f / 0.352777778f), (9.3f * 25.4f / 0.352777778f), 65, 25);
signature1.ContactInfo = "Contact";
signature1.LocationInfo = "World";
signature1.Reason = "I want it";
PdfStandardFont font = new PdfStandardFont(PdfFontFamily.Helvetica, 3.8f);
float row_height = 4.2f;
signature1.Appearance.Normal.Graphics.DrawString("Digitally Signed by " + signature1.ContactInfo, font, PdfBrushes.Black, 0, row_height * 1);
signature1.Appearance.Normal.Graphics.DrawString("Reason: " + signature1.Reason, font, PdfBrushes.Black, 0, row_height * 2);
signature1.Appearance.Normal.Graphics.DrawString("Location: " + signature1.LocationInfo, font, PdfBrushes.Black, 0, row_height * 3);
signature1.Appearance.Normal.Graphics.DrawString((DateTime.Now).ToString(), font, PdfBrushes.Black, 0, row_height * 4);
pdfDoc.Save("document_signed.pdf");
pdfDoc.Close(true);
}
}
private static void Signature_ComputeHash1(object sender, PdfSignatureEventArgs ars)
{
//Get the document bytes
byte[] documentBytes = ars.Data;
SignedCms signedCms = new SignedCms(new ContentInfo(documentBytes), detached: true);
var cmsSigner = new CmsSigner(infoCertifikat);
//Set the digest algorithm SHA256
//cmsSigner.DigestAlgorithm = new Oid("1.3.6.1.4.1.311.10.3.12"); //Document signing – just tried
//cmsSigner.DigestAlgorithm = new Oid("1.2.840.113549.1.1.11"); //SHA256RSA
//cmsSigner.DigestAlgorithm = new Oid("1.2.840.113549.1.1.5"); //SHA1RSA
//cmsSigner.DigestAlgorithm = new Oid("1.3.14.3.2.26"); //SHA1
cmsSigner.DigestAlgorithm = new Oid("2.16.840.1.101.3.4.2.1"); //SHA256
cmsSigner.IncludeOption = X509IncludeOption.EndCertOnly; //Without this it throws CryptographicException: A certificate chain could not be bulit to a trusted root authority. (only in production)
signedCms.ComputeSignature(cmsSigner);
//Embed the encoded digital signature to the PDF document
ars.SignedData = signedCms.Encode();
}
}
}
我尝试使用不同的 DigestAlgorithm。(在代码中注释)但我不知道我应该使用哪个。
我为 Platform target x64 构建它,因为没有它会导致:
CryptographicException: The keyset is not defined. at System.Security.Cryptography.Pkcs.PkcsUtils.CreateSignerEncodeInfo(CmsSigner signer, Boolean silent, DafeCryptoProvHandle)
生产中使用了经过审查的证书:
我的开发证书有 Key Usage: Signing document ,生产中缺少。或者增强的密钥用法缺少什么?
感谢您的任何建议。
更新:所以,我以不同的几种方式做了我的小步骤,看起来很有希望,但不是mutch。
- 我尝试了 Syncfusion 的正常签名并设置 CryptographicStandard.CADES
Syncfusion.Pdf.Security.PdfSignature signature1 = new Syncfusion.Pdf.Security.PdfSignature(pdfDoc, pdfDoc.Pages[0], pdfCertificate, "DigitalSign");
signature1.Settings.CryptographicStandard = CryptographicStandard.CADES;
它制作签名文件并使程序崩溃。喜欢无一例外。
- 我查看了前一段时间使用的方式,我发现它正在使用 hashSHA1、RSA + PKCS#1 进行签名。
所以,我尝试以外部方式使用 oid:
cmsSigner.DigestAlgorithm = new Oid("1, 3, 36, 3, 3, 1, 1"); //RSA + SHA1
这会导致: CryptographicsException:对象标识符的格式不正确。在 SignedCms.Sign(...)
- 我尝试的另一种方法是请同事,这样我们就可以共同受苦。
我不知道我在做什么。
更新 2:
所以,正确的方法可能是使用外部的 SHA1。签名文件有效,但是当程序结束时,程序不会像往常一样关闭,而是停止工作。微软应用程序 certutil 也是如此。列出证书后,它停止工作。
这是关于该证书的新信息。它在 Luna 提供的 HSM 中。
================ Certificate 0 ================
Serial Number: ...
Issuer: ...
NotBefore: ...
NotAfter: ...
Subject: ...
Non-root Certificate
Cert Hash(sha1): 9f
Key Container = ...
Provider = Luna enhanced RSA and AES provider for Microsoft Windows
Private key is NOT exportable
ERROR: Could not verify certificate public key against private key
Revocation check skipped -- server offline
Certificate is valid
解决方案
确保证书安装在正确的商店中(您的代码显示StoreLocation.LocalMachine
)。所以我们先检查一下store中的证书是否正常,key是否关联且可访问。
运行以下命令以列出并验证存储中的所有证书:
certutil -verifystore MY
输出应显示如下:
================ Certificate X ================
Serial Number: ...
Issuer: ...
NotBefore: ...
NotAfter: ...
Subject: ...
Non-root Certificate
Cert Hash(sha1): ...
Key Container = ...
Unique container name: ...
Provider = ...
Private key is NOT exportable
Signature test passed
...
这将向您显示私钥关联及其提供者,并将创建签名以检查密钥是否可访问。
因此,请确保为运行命令的用户以及您的应用程序授予访问密钥的权限。您可能需要通过阅读 HSM 用户手册或联系负责人(内部或制造商支持)来澄清这一点
您SignedCms
的代码看起来不错-为了进行测试,请使其尽可能简单(无摘要算法)并小步前进。
编辑
此外,当然,您需要让您的证书受信任。这意味着证书信任链已安装到证书存储区。
证书可以在这里找到:http ://crt.postsignum.cz/certifikaty_autorit.html
- 跑
certlm.msc
- PostSignum Root QCA 4 根证书颁发机构需要通过右键单击目录并选择所有任务和 * 导入* 添加到受信任的根证书颁发机构
- PostSignum 合格的 CA 4需要通过右键单击目录并选择所有任务和 * 导入 * 添加到中间证书颁发机构
推荐阅读
- r - 有没有办法用 32 位 R 打开 RStudio,但不更改 64 位的默认值?
- php - 404 页面未找到 /opt/lampp/htdocs/testing
- r - R:如何解决以下线性规划问题
- machine-learning - 使用 GAN 对合成图像进行人工标记
- python-3.x - IDE 说:“警告:名称 'X' 可能未定义”
- reactjs - 每 5 秒仅保存一次来自 WebSocket 消息的数据
- javascript - 有没有办法强制 window.location.reload() 只重新加载当前 URL 一次?
- python - 对 2D 特征执行 MaxPool1D(Iris 数据集)
- html - Angular - 单击图像时,显示带有 3 个单选按钮的对话框
- java - 在 AWS Elastic Beanstalk 上自动设置初始基础设施?