声明:我在CISPL工作。
目前,WebCrypto API无法访问(Windows)或任何其他密钥存储或本地加密USB /智能卡设备。
此外,在大多数签名方案中,为了保护服务器边界内的PDF文件的要求,不建议将完整的PDF文件发送到浏览器或签名API服务器。
因此,最好的做法是创建PDF的哈希值进行签名,将哈希值发送到浏览器,并通过浏览器扩展使用JavaScript访问运行在本地系统上的某个应用程序来访问本地密钥库(或USB /智能卡)并生成签名,然后将签名发送回服务器(PDF签名的PKCS7或CMS容器),其中签名可以被注入回从中创建哈希的PDF,该哈希已经被发送到浏览器或签名api服务器。
对于基于浏览器的签名场景,我的公司提供了一个免费的浏览器扩展程序Signer.Digital和服务器所需的.NET库。本地系统(在Windows上在Chrome浏览器后面运行的主机)可以从cNET下载站下载。安装此主机并重新启动Chrome将自动添加Signer.Digital Chrome扩展程序和/或Signer.Digital Firefox扩展程序。
该扩展程序的实际工作过程在此处进行说明,包括完整的代码演示和可工作的示例VS 2015项目源代码的下载链接。
Javascript调用扩展程序中的方法:
//Calculate Sign for the Hash by Calling function from Extension SignerDigital
SignerDigital.signPdfHash(hash, $("#CertThumbPrint").val(), "SHA-256") //or "SHA256"
//SignerDigitial.signHashCAdESBr method may be used for producing ICP-Brazil Signature
.then(
function (signDataResp) {
//Send signDataResp to Server
},
function (errmsg) {
//Send errmsg to server or display the result in browser.
}
);
如果成功,返回Base64编码的pkcs7签名 - 使用适当的库或由Signer.Digital提供的库将签名注入到pdf中。
如果失败,则返回以“SDHost Error:”开头的错误消息。
从浏览器进行数字签名。
- 服务器向浏览器发送要签名的数据/文档/内容的哈希值。
- 浏览器使用Signer.Digital浏览器扩展Javascript API从Signer.Digital浏览器扩展主机中调用操作。
- 在Windows上,浏览器扩展主机使用Microsoft证书存储和底层CSP来获取哈希签名。
- 在Linux上,浏览器扩展主机使用加密设备的PKCS#11 .SO库来获取哈希签名。
- 原始签名(哈希的签名)或签名容器由Signer.Digital浏览器扩展主机返回给浏览器。
- 对于USB令牌或智能卡等加密设备,用户的私钥永远不会离开设备,但要签名的哈希值会被发送到设备进行签名。
- Web应用程序(浏览器中的Javascript)将签名发送回服务器,并可以将其嵌入PDF文档、XML、Json或其他所需格式中。
2022年7月:新增方法signCAdESBr,以ICP-Brazil标准签署PDF或内容,以及方法signCAdESEg,以Egypt ITIDA CAdES-BES标准签署。
