如何在node.js中进行PKCS7签名?

时间:2012-10-05 20:48:53

标签: ruby node.js cryptography openssl certificate

所以我将一个ruby库移植到node.js,需要创建一个PKCS7签名。

以下是ruby lib正在做的事情:

p12_certificate = OpenSSL::PKCS12::new(File.read('some-path.c12'), self.certificate_password)
x509_certificate = OpenSSL::X509::Certificate.new(File.read('some-other-path.pem'))


flag = OpenSSL::PKCS7::BINARY|OpenSSL::PKCS7::DETACHED
signed = OpenSSL::PKCS7::sign(p12_certificate.certificate, p12_certificate.key, File.read('some-manifest'), [x509_certificate], flag)

我如何在节点中实现相同的功能?我认为它会是这样的:

crypto.createCredentials({
  pfx : fs.readFileSync('some-cert.p12'),
  passphrase : this.certificate_password,
  cert : fs.readFileSync('some-path.pem','some-encoding'),
})

问题:

  • 这是正确的方法吗?
  • 我是否需要指定密钥,ca列表,crl列表或密码列表?
  • 我应该使用什么编码来阅读证书?
  • 与行设置signed
    • 等效的节点是什么
  • 节点等效于signed.to_der

3 个答案:

答案 0 :(得分:1)

此代码可以帮助您。是专为PKCS7设计的,但您可以根据需要修改de openssl命令行。

    var util = require('util');
var spawn = require('child_process').spawn;
var Promise = require('promise');

// Expose methods.
exports.sign = sign;

/**
 * Sign a file.
 *
 * @param {object} options Options
 * @param {stream.Readable} options.content Content stream
 * @param {string} options.key Key path
 * @param {string} options.cert Cert path
 * @param {string} [options.password] Key password
 * @param {function} [cb] Optional callback
 * @returns {object} result Result
 * @returns {string} result.pem Pem signature
 * @returns {string} result.der Der signature
 * @returns {string} result.stdout Strict stdout
 * @returns {string} result.stderr Strict stderr
 * @returns {ChildProcess} result.child Child process
 */

function sign(options, cb) {
    return new Promise(function (resolve, reject) {
        options = options || {};

        if (!options.content)
            throw new Error('Invalid content.');

        if (!options.key)
            throw new Error('Invalid key.');

        if (!options.cert)
            throw new Error('Invalid certificate.');

        var command = util.format(
            'openssl smime -sign -text -signer %s -inkey %s -outform DER -nodetach',
            options.cert,
            options.key
        );

        if (options.password)
            command += util.format(' -passin pass:%s', options.password);

        var args = command.split(' ');
        var child = spawn(args[0], args.splice(1));

        var der = [];

        child.stdout.on('data', function (chunk) {
            der.push(chunk);
        });

        child.on('close', function (code) {
            if (code !== 0)
                reject(new Error('Process failed.'));
            else
                resolve({
                    child: child,
                    der: Buffer.concat(der)
                });
        });

        options.content.pipe(child.stdin);
    })
        .nodeify(cb);
}

我的文件名为:signHelper。 这是调用它的代码:

signHelper.sign({
            content: s, 
            key: path.join(__dirname, '../certs/test/' + "keyfile.key")//,
            cert: path.join(__dirname, '../certs/test/' + "certfile.crt"),
            password: 'password'
        }).catch(function (err) {
            logger.error("Error signing: " + err.stack);
            callback(err);
        }).then(function (result) {
            logger.info("signTicket ++++++++++++");
            callback(null, result.der); //result.der is the signed certificate
        });

您只需要了解如何使用openssl执行所需操作。 我希望它适合你。

答案 1 :(得分:0)

Verify PKCS#7 (PEM) signature / unpack data in node.js

不能评论超过链接,但希望这可以让你开始。这只是验证签名,但我确信你可以将其反向设计为创建签名。

答案 2 :(得分:0)

现在无法在节点或iojs中本地执行此操作,您可以做的最好是使用smime module运行exec命令作为示例。

相关问题
最新问题