由 PKCS#7 加密消息保护的 API答案

【问题标题】：API secured by PKCS#7 cryptographic message由 PKCS#7 加密消息保护的 API
【发布时间】：2013-08-16 01:28:03
【问题描述】：

我目前正在尝试调用一个 API，该 API 要求我将 XML 数据放入 PKCS#7 格式。
此数据将发布到 API 端点。
响应也以 PKCS#7 加密消息的形式出现（MIME 类型为 application/pkcs7-mime）。
他们提供的一些注释：加密消息不包含任何证书链。不使用数据压缩。不使用数据加密。加密消息采用 OpenSSL PEM 格式。

我已获得两张证书。我创建了一个请求并拥有私钥，另一个由服务提供商提供给我。
我已成功安装这些证书，并且可以与服务通信。

我似乎成功地将数据发送到此 API 服务。
现在我正在尝试理解我从这个 API 收到的响应。
此响应如下所示

（我把内容弄乱了，因为里面有任何敏感的东西）

有了这个回应，我需要

验证数字签名以确保响应是由提供商发送的
从此响应中获取 Xml 格式的消息

我主要使用 Bouncy Castle 库和 MS SignedCms Class
总之，我绝对无处可去。

请有人指导我在这里做什么，因为我已经在这工作了大约 5 天，而且进展很快。

这是我目前正在做的一些事情：

提出请求

使用 HttpWebRequest 和 HttpWebResponse 我使用我提供的证书将数据发布到服务

var store = new X509Store(StoreLocation.LocalMachine);
store.Open(OpenFlags.ReadOnly | OpenFlags.OpenExistingOnly);
X509Certificate2 cert = store.Certificates.Find(X509FindType.FindByThumbprint, "ACLKJCLKJCLKJCLKJCLKJCLKJCLKJCLKJCLKJCLK", false)[0];

HttpWebRequest request = null;
var uri = new Uri(endPointUri);
request = (HttpWebRequest) WebRequest.Create(uri);
request.Method = "POST";
request.ContentType = "application/pkcs7-mime";
request.ContentLength = requestString.Length;
request.ClientCertificates.Add(cert);

using (Stream writeStream = request.GetRequestStream())
{
    var encoding = new UTF8Encoding();
    byte[] bytes = encoding.GetBytes(requestString);
    writeStream.Write(bytes, 0, bytes.Length);
}
string result = null;
using (var response = (HttpWebResponse) request.GetResponse())
{
    using (Stream responseStream = response.GetResponseStream())
    {
        if (responseStream != null)
        {
            using (var readStream = new StreamReader(responseStream, Encoding.UTF8))
            {
                result = readStream.ReadToEnd();
            }
        }
    }
}

return result;

在这里，我从上面返回“BEGIN PKCS7”消息。
现在我正试图弄清楚如何处理这个

MS 签名 CMS 类方法

SignedCms signedCms = new SignedCms();
signedCms.Decode(Encoding.Default.GetBytes(resultString));
try
{
    signedCms.CheckSignature(new X509Certificate2Collection(cert1), true);
}
catch (System.Security.Cryptography.CryptographicException e)
{
    _Log.Error(e.Message)
}

这会在“ASN1 bad tag value met”的“signedCms.Decode”上引发异常。

BouncyCastle ISigner

这里的文档不存在。
所以首先我将我的响应保存到一个文件并使用 TextReader 对象尝试使用 BouncyCastle 进行测试

using (TextReader reader = File.OpenText(@"c:\temp\resultString.txt"))
{
    PemReader pemRd = new PemReader(reader);
    ContentInfo d = (ContentInfo)pemRd.ReadObject();
    Console.WriteLine(d.ContentType.ToString());
}

这将返回结果：“1.2.840.113549.1.7.2”
据我所知，这意味着它的“Pkcs7 签名数据”
哇哦，看起来好像在起作用。
但是从这里，我如何验证，以及如何从中提取任何信息

我的验证尝试

using (TextReader reader = File.OpenText(@"c:\temp\resultString.txt"))
{
    PemReader pemRd = new PemReader(reader);
    var signature = new CmsSignedData(pemRd.ReadObject());
}

失败 - 签名为空

var store = new X509Store(StoreLocation.LocalMachine);
store.Open(OpenFlags.ReadOnly | OpenFlags.OpenExistingOnly);
X509Certificate2 cert = store.Certificates.Find(X509FindType.FindByThumbprint, "ACLKJCLKJCLKJCLKJCLKJCLKJCLKJCLKJCLKJCLK", false)[0]; //tried with both certs
ISigner signer = SignerUtilities.GetSigner("RSA");
var bouncyx509 = DotNetUtilities.FromX509Certificate(cert1);
signer.Init(true, DotNetUtilities.FromX509Certificate(cert1).GetPublicKey());

失败 - 需要私钥来创建签名者

即将结束

我希望我已经提供了足够的信息来在这里获得帮助。
也许我正朝着完全错误的方向前进。

我的问题是：

如何验证数字签名？
如何从该响应中获取 Xml 格式的消息？

解决方案

感谢 gtrig，我终于有了解决方案。
使用 MS SignedCms 对象，我必须首先从消息中删除页眉和页脚，然后是 Convert.FromBase64String

工作解决方案

SignedCms signedCms = new SignedCms();
resultString = resultString.Replace("\n", "").Replace("-----BEGIN PKCS7-----", "").Replace("-----END PKCS7-----", "");
signedCms.Decode(Convert.FromBase64String(resultString));

现在 signedCms.ContentInfo.Content 包含我期望的响应 Xml 消息

【问题讨论】：

标签： c# x509certificate pkcs#7

【解决方案1】：

这是一个不完整的答案，但它可能会让你走得更远。

如果你可以访问 openssl，试试这个command 看看它是否可以读取数据：

openssl pkcs7 -in resultString.txt -text

然后在您的代码中尝试此操作（与您所拥有的唯一区别是“Content”而不是“ContentType”：

Console.WriteLine(d.Content.ToString());

signedCms.Decode() 采用字节数组，这可能是 DER 格式的消息，而不是您在响应中收到的 PEM 格式的消息。要在字节数组中获取它，您必须去除页眉和页脚（开始/结束）行并将其余部分传递给此方法：

Convert.FromBase64String()

或者，您可以使用 openssl 将文件转换为 DER 格式，然后直接从文件中读取字节。

openssl pkcs7 -in resultString.txt -outform DER -out result.der

【讨论】：

谢谢。从 Base64 转换并剥离页眉和页脚解决了我的问题。