有关要签名的 PKCS#10 的证书请求信息

Question

我正在编写一个必须创建 PKCS#10 的代码。为此，我必须签署我的“证书请求信息”，但当我这样做时，应用程序说签名无效。

我使用 OpenSSL.exe 验证 P10，错误是： “ANS1_CHECK_TLEN：标签错误”。我认为我正在签署不应该签署的内容，所以我的问题是，我必须签署的“证书请求信息”的确切格式是什么？

我知道它必须以序列开头，但 p10 规范告诉我们：

“签名过程由两个步骤组成：

1. certificationRequestInfo 组件的值是 DER 编码，产生一个八位字节字符串。
2. 步骤1的结果与认证请求一起签名 指定签名下的主体私钥 算法，产生一个位串，签名。”

我不确定开始是否必须是一个序列（0x30 0x82“长度> 256”），或者一个八位字节字符串（0x04 0x82“长度> 256”），根据ANS.1。

如果有人给我一个像这篇文章一样的答案，我可能是世界上最幸福的人，非常感谢：

PKCS#10 请求来自 PKCS#11 的对象密钥对

此致，大卫·M.

Answer 1

PKCS#10 标准的步骤 #1 讨论了作为 certificationRequestInfo 元素编码结果的八位字节字符串，并且不引用 ASN.1 类型。请求签名是在此 DER 编码上计算的，因此待签名对象是 ASN.1 SEQUENCE 而不是 OCTET STRING >。