在服务器客户端条件下使用USB驱动程序对PDF进行sigin

虽然您的代码理论上可以在服务器上工作，但是我看到很多原因，为什么在客户端/服务器环境中使用在独立计算机上运行的代码不是明智的决定。有太多实际问题（例如身份验证，速度，iText版本错误等）会使您的项目出错。对于您的问题，该代码是否可以在客户端/服务器方案中运行，我将回答“否”。

在对我的答案的评论中，表明您的服务器是Linux服务器。很明显，在Linux服务器上使用“ Windows- MY”将永远无效。您必须使用PKCS＃11而不是Windows-MY与存储令牌的硬件设备通信。这是一个代码示例，可用于SafeNet的Luna SA。如您所见，它使用PKCS＃11：

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.security.GeneralSecurityException;
import java.security.KeyStore;
import java.security.PrivateKey;
import java.security.Provider;
import java.security.Security;
import java.security.cert.Certificate;
import java.security.cert.X509Certificate;
import java.util.ArrayList;
import java.util.Collection;
import java.util.List;
import java.util.Properties;

import org.bouncycastle.jce.provider.BouncyCastleProvider;

import sun.security.pkcs11.SunPKCS11;

import com.itextpdf.text.DocumentException;
import com.itextpdf.text.Rectangle;
import com.itextpdf.text.log.LoggerFactory;
import com.itextpdf.text.log.SysoLogger;
import com.itextpdf.text.pdf.PdfReader;
import com.itextpdf.text.pdf.PdfSignatureAppearance;
import com.itextpdf.text.pdf.PdfStamper;
import com.itextpdf.text.pdf.security.BouncyCastleDigest;
import com.itextpdf.text.pdf.security.CertificateUtil;
import com.itextpdf.text.pdf.security.CrlClient;
import com.itextpdf.text.pdf.security.CrlClientOnline;
import com.itextpdf.text.pdf.security.DigestAlgorithms;
import com.itextpdf.text.pdf.security.ExternalDigest;
import com.itextpdf.text.pdf.security.ExternalSignature;
import com.itextpdf.text.pdf.security.MakeSignature;
import com.itextpdf.text.pdf.security.OcspClient;
import com.itextpdf.text.pdf.security.OcspClientBouncyCastle;
import com.itextpdf.text.pdf.security.PrivateKeySignature;
import com.itextpdf.text.pdf.security.TSAClient;
import com.itextpdf.text.pdf.security.TSAClientBouncyCastle;
import com.itextpdf.text.pdf.security.MakeSignature.CryptoStandard;

public class C4_01_SignWithPKCS11HSM {

    public static final String SRC = "/home/itext/hello.pdf";
    public static final String PROPS = "/home/itext/key.properties";
    public static final String DEST = "/home/itext/hello_hsm.pdf";

    public void sign(String src, String dest,
            Certificate[] chain, PrivateKey pk,
            String digestAlgorithm, String provider, CryptoStandard subfilter,
            String reason, String location,
            Collection<CrlClient> crlList,
            OcspClient ocspClient,
            TSAClient tsaClient,
            int estimatedSize)
                    throws GeneralSecurityException, IOException, DocumentException {
        // Creating the reader and the stamper
        PdfReader reader = new PdfReader(src);
        FileOutputStream os = new FileOutputStream(dest);
        PdfStamper stamper = PdfStamper.createSignature(reader, os, '\0');
        // Creating the appearance
        PdfSignatureAppearance appearance = stamper.getSignatureAppearance();
        appearance.setReason(reason);
        appearance.setLocation(location);
        appearance.setVisibleSignature(new Rectangle(36, 748, 144, 780), 1, "sig");
        // Creating the signature
        ExternalSignature pks = new PrivateKeySignature(pk, digestAlgorithm, provider);
        ExternalDigest digest = new BouncyCastleDigest();
        MakeSignature.signDetached(appearance, digest, pks, chain, crlList, ocspClient, tsaClient, estimatedSize, subfilter);
    }

    public static void main(String[] args) throws IOException, GeneralSecurityException, DocumentException {

        LoggerFactory.getInstance().setLogger(new SysoLogger());

        Properties properties = new Properties();
        properties.load(new FileInputStream(PROPS));
        char[] pass = properties.getProperty("PASSWORD").tocharArray();
        String pkcs11cfg = properties.getProperty("PKCS11CFG");

        BouncyCastleProvider providerBC = new BouncyCastleProvider();
        Security.addProvider(providerBC);
        FileInputStream fis = new FileInputStream(pkcs11cfg);
        Provider providerPKCS11 = new SunPKCS11(fis);
        Security.addProvider(providerPKCS11);

        KeyStore ks = KeyStore.getInstance("PKCS11");
        ks.load(null, pass);
        String alias = (String)ks.aliases().nextElement();
        PrivateKey pk = (PrivateKey)ks.getKey(alias, pass);
        Certificate[] chain = ks.getCertificateChain(alias);
        OcspClient ocspClient = new OcspClientBouncyCastle();
        TSAClient tsaClient = null;
        for (int i = 0; i < chain.length; i++) {
            X509Certificate cert = (X509Certificate)chain[i];
            String tsaUrl = CertificateUtil.getTSAURL(cert);
            if (tsaUrl != null) {
                tsaClient = new TSAClientBouncyCastle(tsaUrl);
                break;
            }
        }
        List<CrlClient> crlList = new ArrayList<CrlClient>();
        crlList.add(new CrlClientOnline(chain));
        C4_01_SignWithPKCS11HSM app = new C4_01_SignWithPKCS11HSM();
        app.sign(SRC, DEST, chain, pk, DigestAlgorithms.SHA256, providerPKCS11.getName(), CryptoStandard.CMS,
                "HSM test", "Ghent", crlList, ocspClient, tsaClient, 0);
    }
}

使用的配置文件的内容如下所示：

Name = Luna
library = /usr/lunasa/lib/libCryptoki2_64.so
slot = 1

请注意，根据so您的情况，可能在另一个目录中，并且您的证书可能在另一个插槽中。我还使用属性文件来存储证书的密码。显然，我不会共享密码;-)

此示例已在GlobalSign拥有的服务器上使用GlobalSign证书进行了测试。

其他 2022/1/1 18:32:02 有399人围观

撰写回答

你尚未登录，登录后可以

和开发者交流问题的细节

关注并接收问题和回答的更新提醒

参与内容的编辑和改进，让解决方法与时俱进

请先登录

在服务器客户端条件下使用USB驱动程序对PDF进行sigin

撰写回答

推荐问题

在服务器上运行selenium浏览器（Flask / Python / Heroku）

在服务器上运行其他人的代码（沙盒）的安全方法？

不要在服务器端代码中使用System.out.println

如何通过Java EE Web应用程序将文件存储在服务器（Web容器）上？

Java：在服务器上下文外部下载文件

使用基于Java的配置在服务器模式下设置H2

在服务中处理$ http响应

在服务器上不断运行Java应用程序

为什么URL的哈希部分在服务器端不可用？

Meteor：在服务器上正确使用Meteor.wrapAsync

哪种方法是在服务器上存储文件的最佳方法（在数据库中还是单独存储位置）？

在服务器端处理plupload的分块上传

Flask应用程序回溯未显示在服务器日志中

docker正在运行，但无法在服务器上访问

Spring Entries应该在服务中转换为Dto吗？

如何在服务器中的htaccess中更改php版本

如何在服务器套接字JAVA中读取所有Inputstream

将生成的PDF文件存储在服务器上

仅在服务器端接受FileField中的某种文件类型

JavaScript 在服务中处理$ http响应

分类汇总

您的鼓励是对我最大的支持