php小编新一为您介绍:在java开发中,esig dss签名验证时始终返回"indeterminate"可能是由于签名不完整或无法验证所致。此问题通常涉及数字证书、签名算法等方面,需要仔细检查签名数据和验证流程。解决方法包括检查签名算法、证书有效性、签名数据完整性等方面,确保所有步骤正确无误。通过仔细排查可能的问题,可以解决这一常见的签名验证困扰,确保系统的数据安全和完整性。
问题内容
我正在尝试使用欧盟委员会赞助的数字签名服务 (dss) 库 5.12.1 来验证数字签名 pdf 和 xml 的电子签名。
我使用的代码是
byte[] binaryPdf = Base64.getDecoder().decode(base64EncodedDocument); CommonTrustedCertificateSource trustedCertSource = new CommonTrustedCertificateSource(); CertificateVerifier cv = new CommonCertificateVerifier(); cv.setAIASource(new DefaultAIASource()); cv.setOcspSource(new OnlineOCSPSource()); cv.setCrlSource(new OnlineCRLSource()); cv.addTrustedCertSources(trustedCertSource); DSSDocument document = new InMemoryDocument(binaryPdf, shortFileName); SignedDocumentValidator documentValidator = SignedDocumentValidator.fromDocument(document); documentValidator.setCertificateVerifier(cv); UserFriendlyIdentifierProvider userFriendlyIdentifierProvider = new UserFriendlyIdentifierProvider(); documentValidator.setTokenIdentifierProvider(userFriendlyIdentifierProvider); Reports reports = documentValidator.validateDocument();
在 dss 文档 pdf 中指出。我的应用程序总是获得带有子指示 no_certificate_chain_found 的 indeterminate 指示(在证书链的证书元素中可见)。它找不到信任锚。当我使用示例应用程序 5.12.1 进行签名验证并尝试验证同一文档时,我得到了预期的 total_passed 指示。我的应用程序可以访问互联网。我做错了什么? 谢谢!
解决方法
示例应用程序和您的代码之间存在差异。
示例应用程序附带预配置的受信任根列表 (EU LOTL)。
您的代码附带一个空的 CommonTrustedCertificateSource (即没有证书受信任)
参见DSS FAQ
因此您需要向 CommonTrustedCertificateSource 添加一些证书。如果您仅验证自己创建的签名,请将您的 CA 根/签名证书添加到受信任的来源。如果您要验证第三方签名,解决方案会更加复杂。例如,您可以从 PDF 中提取所有经过认证的内容,并在验证之前将它们添加到受信任列表中
