使用 Bouncy Castle 在 Java 中复制“openssl smime”？

Question

我手头有问题。不懂 Java 的同事正在使用 OpenSSL 命令对文件进行签名，如下所示：

openssl smime -binary -sign -certfile WWDR.pem -signer passcertificate.pem \
  -inkey passkey.pem -in manifest.json -out signature -outform DER \
  -passin pass:12345

如您所见，这里有三个文件被提供给 openssl 命令以生成签名。

现在我们想要使用 Java 复制相同的功能，因为我们假设要签名的内容将是动态的，并且本质上是服务器端的。我读到 BouncyCastle 是要走的路。但我不确定如何使用该库。我对密码学技术也不是很熟悉。我无法理解如何使用上述所有三个文件对manifest.json 中的内容进行签名。

如果有人可以指导我找到正确的代码或给我一个开始，我将非常感谢你的努力。

Answer 1

我还必须在 java 中复制该 openssl 命令，这就是我完成它的方法。无需使用运行时。

public byte[] signMobileConfig(byte[] mobileconfig) 
            throws CertificateEncodingException, PEMException, FileNotFoundException, IOException, CertificateException, OperatorCreationException, CMSException {
    Security.addProvider(new BouncyCastleProvider());

    X509CertificateHolder caCertificate = loadCertfile();

    JcaX509CertificateConverter certificateConverter = new JcaX509CertificateConverter();
    X509Certificate serverCertificate = certificateConverter.getCertificate(loadSigner());

    PrivateKeyInfo privateKeyInfo = loadInKey();
    PrivateKey inKey = new JcaPEMKeyConverter().getPrivateKey(privateKeyInfo);
    ContentSigner sha1Signer = new JcaContentSignerBuilder("SHA1withRSA").setProvider("BC").build(inKey);

    CMSSignedDataGenerator generator = new CMSSignedDataGenerator();
    JcaDigestCalculatorProviderBuilder digestProviderBuilder = new JcaDigestCalculatorProviderBuilder().setProvider("BC");
    JcaSignerInfoGeneratorBuilder generatotBuilder = new JcaSignerInfoGeneratorBuilder(digestProviderBuilder.build());

    generator.addSignerInfoGenerator(generatotBuilder.build(sha1Signer, serverCertificate));
    generator.addCertificate(new X509CertificateHolder(serverCertificate.getEncoded()));
    generator.addCertificate(new X509CertificateHolder(caCertificate.getEncoded()));

    CMSProcessableByteArray bytes = new CMSProcessableByteArray(mobileconfig);
    CMSSignedData signedData = generator.generate(bytes, true);

    return signedData.getEncoded();
}

这是我加载文件的方式：

public X509CertificateHolder loadSigner() throws FileNotFoundException, IOException {
    InputStream inputStream = externalResourcesFacade.getResourceAsStream("path/to/.crt");
    PEMParser parser = new PEMParser(new InputStreamReader(inputStream));
    return (X509CertificateHolder) parser.readObject();
}

public PrivateKeyInfo loadInKey() throws FileNotFoundException, IOException {
    InputStream inputStream = externalResourcesFacade.getResourceAsStream("path/to/.key");
    PEMParser parser = new PEMParser(new InputStreamReader(inputStream));
    return (PrivateKeyInfo) parser.readObject();
}

public X509CertificateHolder loadCertfile() throws FileNotFoundException, IOException {
    InputStream inputStream = externalResourcesFacade.getResourceAsStream("path/to/.crt");
    PEMParser parser = new PEMParser(new InputStreamReader(inputStream));
    return (X509CertificateHolder) parser.readObject();
}

---

这是我的文件映射：

myCrtFile.crt -> signerCertHolder
myKeyFile.key -> privateKeyInfo
bundleCertificate.crt -> certificateHolder

Answer 2

首先，不要因为难以理解 BouncyCastle 而感到难过。这是一个非常有用的 API，但它的文档记录很差。最好的办法是四处搜索可以教您如何使用 API 的示例。

由于我之前没有将 BouncyCastle 用于 SMIME（我主要将其用于 PGP 和/或 JCE），因此对“bouncycastle smime example”的简短搜索让我找到了this page，特别是this example。

希望这是一个好的开始，进一步的谷歌搜索将有助于了解正在使用的 API 类。我怀疑仅凭这个示例就可以完成 80% 的任务。

---

如果您对输入文件的用途有任何混淆：

-certfile WWDR.pem - 这是要在消息中指定的附加证书。签名消息的接收者在验证签名时会考虑此证书。

-signer passcertificate.pem - 这是与您的签名密钥直接对应的证书。

-inkey passkey.pem - 这是你的签名密钥

Answer 3

因此，如果有人想知道我是如何解决上述问题的，我就是这样做的：

我使用了 Java 的 Runtime 对象！

String openSSLCommand = openssl smime -binary 
-sign -certfile WWDR.pem -signer passcertificate.pem
-inkey passkey.pem -in manifest.json -out signature -outform DER
-passin pass:12345

Process process = Runtime.getRuntime().exec(openSSLCommand);

谢谢大家