我正在升级Java6编写的系统,使用充气城堡1.43,用于生成CMS。新系统使用Java8和充气城堡1.58。
我使用这两种方法生成了CMS,并成功地使用openssl(不幸的是,第三方)验证了它们,该第三方接收CMS拒绝来自新系统的一个。我强烈怀疑它背后的原因是“加密消息语法(CMS)算法保护属性”(OID: 1.2.840.113549.1.9.52),它是作为签名信息的一部分添加的。
object: undefined (1.2.840.113549.1.9.52)
value.set:
SEQUENCE:
0:d=0 hl=2 l= 30 cons: SEQUENCE
2:d=1 hl=2 l= 13 cons: SEQUENCE
4:d=2 hl=2 l= 9 prim: OBJECT :sha512
15:d=2 hl=2 l= 0 prim: NULL
17:d=1 hl=2 l= 13 cons: cont [ 1 ]
19:d=2 hl=2 l= 9 prim: OBJECT :sha512WithRSAEncryption
30:d=2 hl=2 l= 0 prim: NULL
这是我能看到的新旧CMS之间唯一的显著差异。我尝试使用setSignedAtbanteGenerator()设置属性表,但是即使没有设置算法保护,也添加了这个属性。有没有办法在不深入ASN1并手动执行的情况下删除它?
我的CMS是这样创建的:
String signatureAlgorithm = "SHA512withRSA";
CMSSignedDataGenerator gen = new CMSSignedDataGenerator();
ContentSigner shaSigner = new JcaContentSignerBuilder(signatureAlgorithm).build( privateKey );
gen.addSignerInfoGenerator(new
JcaSignerInfoGeneratorBuilder( new JcaDigestCalculatorProviderBuilder().build())
.build(shaSigner, certificate)
);
gen.addCertificate( new X509CertificateHolder( certificate.getEncoded() ));
CMSTypedData processable = new CMSProcessableByteArray(toSign);
CMSSignedData signed = gen.generate(processable, true);
谢谢!
我设法通过在DefaultSignedAtbanteTableGenerator中覆盖getAtbantes()来做到这一点。
SignerInfoGenerator sigGen = new JcaSignerInfoGeneratorBuilder( new JcaDigestCalculatorProviderBuilder().build())
.build(shaSigner, certificate);
final CMSAttributeTableGenerator sAttrGen = sigGen.getSignedAttributeTableGenerator();
sigGen = new SignerInfoGenerator(sigGen, new
DefaultSignedAttributeTableGenerator(){
@Override
public AttributeTable getAttributes(@SuppressWarnings("rawtypes")
Map parameters) {
AttributeTable ret = sAttrGen.getAttributes(parameters);
return ret.remove(CMSAttributes.cmsAlgorithmProtect);
}
}, sigGen.getUnsignedAttributeTableGenerator());
gen.addSignerInfoGenerator(sigGen);
