要签名的PKCS#10上的证书请求信息

Question

我正在做一个必须创建一个PKCS#10的代码。要做到这一点，我必须对我的“证书请求信息”进行签名，但是当我这样做时，应用程序会说签名无效。

我使用OpenSSL.exe来验证P10，错误是："ANS1_CHECK_TLEN:错误标记“。我想我要签的是我不该签的东西，所以我的问题是，我必须签署的“证书请求信息”的确切格式是什么？

我知道它必须以序列开头，但是p10规范告诉我们：

“签字过程包括两个步骤：

1. certificationRequestInfo组件的值是DER编码的，产生一个八进制字符串。步骤1的结果在指定的签名算法下用认证请求主体的私钥签名，生成一个位字符串，即“

”。

我不确定开始是序列(0x300x82“length>256")，还是八进制字符串(0x040x82”length>256")，根据ANS.1。

如果有人给我这样的答复，我可能是世界上最幸福的人。非常感谢：

PKCS#10 request for a object key pair from PKCS#11

作者: REgards，David M.

Answer 1

PKCS#10标准的步骤1讨论了作为certificationRequestInfo元素编码的结果的八进制字符串，而不是引用ASN.1类型。请求签名是在这个DER-编码上计算的，因此要签名的对象是ASN.1 SEQUENCE，而不是OCTET STRING。