从CRMF请求转换成CertificateRequest（PKCS＃10）签署

Question

我做了一个示例代码来了解如何获得CRMF（Mozilla的证书请求）将其转换成一个CSR更类似于PKCS＃10

我得到了Base 64 CRMFRequest作为ASN1InputStream类型。

我把它转换成CertReqMsg型（BouncyCastle的）

当我调试，我意识到CertReqMsg具有公共密钥，另一个数据，如主题（CN，O，OU等）等，但更重要它有一个签名和一个AlgoritmIdentifier。

但对象不具有干将

如何提取签名作为DERBitString ...？我需要它作为CertificationRequest对象的参数使用（它会根据需要返回CSR）。顺便说一句，CertificationRequest需要一个CertificationRequestInfo对象作为参数。并在其中（CertificationRequestInfo），它接收Attributes作为参数。我supose这个属性是什么样的：

distributionPoint，unotice，policyOID，subjectAlternativeNameDN

我知道它有

ASN1Set attributes = null; 
    attributes = new DERSet(); 

开始，但我不知道怎么填这个paramethers到

 CertificationRequestInfo info = new CertificationRequestInfo(subject, infoPublicKey, attributes); 

很抱歉，如果有些问题似乎是显而易见的......但我无法找到解决..

在此先感谢

Answer 1

您将无法将CRMF格式转换为PKCS＃10 CSR。

的CSR is structured like this，并通过主体的私钥签名：（实际上，这是非常相似的自签名的X.509证书，不颁发者和有效日期）

CertificationRequest ::= SEQUENCE { 
    certificationRequestInfo CertificationRequestInfo, 
    signatureAlgorithm AlgorithmIdentifier{{ SignatureAlgorithms }}, 
    signature BIT STRING 
} 

从什么时候开始你得到了CRMF的请求，你不会有主题的私钥，你将无法做出这个签名。

如果您正在编写某种CA软件，您并不需要这些。处理CRMF请求和CSR请求或多或少是等同的。 CA不应该盲目地做CSR，因此无论如何，它都必须审核与公钥和身份相关的属性。