主页 / server / 问题 / 1046486
Accepted
csavvy
Asked: 2020-12-17 10:32:21 +0800 CST

p7s 文件中存在的 crl 证书或 pem 证书的数量

  • 772

:我们如何找出可以从 P7S 文件生成的 CRL 文件的数量或 PEM 文件的数量?

我(从这里)了解到,P7S 文件中包含的数据只不过是 PEM 文件的编码(ASN1,DER 格式)数据。

因此,如果有一个以(ASN1、DER 格式)编码的 P7S 文件,我使用一些 OpenSSL 命令来获取 ASN1PARSE 数据,并从中获取 CRL,最后得到 PEM。

我知道 ASN1PARSE 与 OpenSSL 一起使用时会给出一些文本文件,其中包含一些偏移量、标题长度和长度,通过使用我们提取上述 CRL(S) 和 PEM(S)。

现在我的问题是,如帖子第一行所述,我怎么知道我正在从 P7S 文件生成正确数量的文件(crls、pems)?

certificate pki openssl crl digital-signatures

1 个回答

  1. Best Answer

    现在在Cryptographic Message Syntax (RFC 5652)中定义的 PKCS#7 文件可以保存许多证书和许多 CRL。

    使用 OpenSSL 提取它们的正常方法是使用:

    openssl pkcs7 -in file.pem -print_certs -out certs.pem

    或者,如果输入文件是 DER:

    openssl pkcs7 -inform DER -in file.p7s -print_certs -out certs.pem

    man页面指出:

    -print_certs
    打印出文件中包含的任何证书或 CRL。它们以一行格式的主题和发行者名称开头。

    asn1parse除非您正在调试或贪吃惩罚,否则无需解析它们。

    以上输出包含所有证书和 CRL 的单个文件。如果您想要单个文件,您应该能够通过管道输出输出awk,类似于:

    openssl pkcs7 -inform DER -in file.p7s -print_certs | awk '/BEGIN/ { i++; } /BEGIN/, /END/ { print > "file-" i ".pem" }'

    这将简单地为每个具有数字文件名的对象创建一个文件。它不区分证书和 CRL。如果需要,您可以修改搜索字符串,使其查找BEGIN CERTIFICATE,END CERTIFICATEBEGIN X509 CRLEND X509 CRL并将"file-"和/或更改".pem"为适合每种情况的内容。

    如果您想在 Python 中执行此操作,请使用该asn1crypto模块:

    import os
from asn1crypto import cms

with open( 'file.p7s', 'rb') as f:
    info = cms.ContentInfo.load(f.read())

signed_data = info['content']
certificates = signed_data['certificates']
crls = signed_data['crls']

# Certificate
for certificate in certificates:
    cn = certificate.native['tbs_certificate']['subject']['common_name']
    with open (cn+'.crt', 'wb') as f:
        f.write(certificate.dump())

# Note: I don't have a CMS file with CRLs, so the next section hasn't been tested.    
for crl in crls:
    cn = crl.native['tbs_cert_list']['issuer']['common_name']
    with open (cn+'.crl', 'wb') as f:
        f.write(crl.dump())
    • 2

相关问题