使用 CA 发布的数字证书签署 PDF 文档的 Web 应用程序

Question

想象一下用 python/django 编写的 Web 应用程序，其中用户通过 apache+mod_ssl （和自定义 django 身份验证后端）使用数字证书进行身份验证，那么他们如何对文件进行签名呢？这些证书由政府批准的 CA 发布。

如果我没记错的话，文件需要使用证书的私钥进行签名，因为这是该文件确实由某人签名的证据（而不是其他人冒充某人）。

Web 应用程序如何访问用户浏览器中存储的证书的私钥？

这是否可能不需要在用户计算机上运行软件？

编辑：

所以这可以通过 ActiveX 控件或 Java 小程序来完成，对吧？这是否需要从头开始开发，或者有人知道开源解决方案吗？

Answer 1

您是正确的，因为 Web 应用程序需要访问用户本地计算机或 PKI 存储上的私钥。我为美国空军网络上的 Web 应用程序开发了这样的解决方案。

用户使用包含 PKI 凭据和私钥的 CAC 卡登录 USAF 计算机。在我们的解决方案中，我们需要对 Web 应用程序生成的 PDF 文档进行数字签名。我们构建了一个 ActiveX 控件，该控件将通过 Web 服务从网站下载 PDF 文档，在本地对 PDF 进行数字签名，然后将签名的 PDF 文档传输回网站。

由于这些文档的签名权限非常有限，因此我们能够获得ActiveX控件的使用授权。您正在走正确的道路，因为只有本地授权的应用程序才能访问用户的密钥存储。

Answer 2

正如 tawman 在他的回答中所描述的，正确的方法是在浏览器中拥有一个客户端模块，并让该模块进行实际签名。您可以使用已签名的 Java 小程序或已签名的 ActiveX 控件来完成这项工作。

我们为分布式签名提供了这样的解决方案，并具有随时可用的客户端模块，但服务器端部分需要 .NET 或 VCL（抱歉，没有 python）。我们的解决方案不需要将文档传输到客户端（与 tawman 的方案不同） - 仅将一小部分数据发送到客户端并在那里签名。

旁注：用于通过 SSL 作为客户端进行身份验证的客户端证书很可能无法用于签名：这两个操作需要证书中不同的密钥使用扩展。

Answer 3

这听起来像是来自欧盟的东西。不幸的是，现有的在线签名插件有无数。请记住，许多也依赖于客户端软件（如果证书来自智能卡，则通常还需要存在智能卡中间件）。所以你最好研究一下你的目标市场。