So laden Sie eine PKCS#12 Digitale Zertifikat mit Javascript-WebCrypto-API

Ich versuche zum signieren der Daten mit Hilfe der WebCrypto API, aber statt der Schaffung einer private - /public-key und dem Export in pkcs#1 oder 8, ich würde wirklich gerne eines Benutzers zu verwenden PKCS#12 zum signieren der Daten. Ich habe gelesen, die W3C-spec, aber nicht viel davon und kann nicht finden, eine gute material auf, wie dies zu tun. Jetzt möchte ich zu verlassen, ActiveX und Java-Applets zur Seite. Gibt es eine Möglichkeit zu zwicken die folgenden:

var buffer = encode(prompt("Please enter your password"));
    //TODO:
    //implement a prompt for a pfx or cert

  return crypto.subtle.importKey("raw", buffer, "PBKDF2", false, usages);
    //TODO:
    //instead of importing it, ask for the certificate's pass to sign data
    //with crypto.subtle.sign

Irgendwelche Hinweise?

UPDATE
Hier ist der code, mit dem ich gearbeitet habe

<script src="forge.min.js"></script>

<script>
    var errorsReportedByVerifier;
    errorsReportedByVerifier = checkStorage() && checkBrowserAPIs();
    if (!errorsReportedByVerifier){
        console.log("adding click event");
        document.getElementById('btnPfx').addEventListener('click', handlePFXFile, false);
        storeVariables();
        getVariables();
    }


    function handlePFXFile(evnt) {
        console.log("handling pfx")
        //alert(document.getElementById('pfx').value);

        //error happens in 1st line
        //error object does not accept property replace
        //forge.min.js Line 1, Column: 17823
        var p12Der = forge.util.decode64(document.getElementById('pfx').valueOf());
        //var pkcs12Asn1 = forge.asn1.fromDer(p12Der);
        //var pkcs12 = forge.pkcs12.pkcs12FromAsn1(pkcs12Asn1, false, 'pss');
        console.log("pkcs12");
    }
</script>
  • Im moment WebCrypto ist noch nicht bereit für solche Dinge.
  • Mayevski 'EldoS Corp, ok, pkcs8 es ist, thx
InformationsquelleAutor lumee | 2016-03-15
  1. 9

    Web-cryptography-api nicht unterstützt PKCS # 12. Sie können eine Drittanbieter-Bibliothek zum Dekodieren der p12 als Schmiede https://github.com/digitalbazaar/forge#pkcs12 und laden privateKey in webcrypto

    Lesen Sie die PKCS#12-Zertifikat

    PKCS#12 gespeichert ist, in DER, so Lesen Sie zuerst aus einer Datei oder verwenden Sie eine zuvor gespeicherte base64 

    //Reading certificate from a 'file' form field
var reader = new FileReader();
reader.onload = function(e) {               
    var contents = e.target.result;
    var pkcs12Der = arrayBufferToString(contents)
    var pkcs12B64 = forge.util.encode64(pkcs12Der);     
    //do something else...

}   
reader.readAsArrayBuffer(file);

function arrayBufferToString( buffer ) {
    var binary = '';
    var bytes = new Uint8Array( buffer );
    var len = bytes.byteLength;
    for (var i = 0; i < len; i++) {
        binary += String.fromCharCode( bytes[ i ] );
    }
    return binary;
}

//p12 certificate stored in Base64 format
var pkcs12Der= forge.util.decode64(pkcs12B64);

    Decode PKCS#12 mit forge und extrahieren Sie den privaten Schlüssel

    Dekodieren dann DER format ASN1, und lassen Sie forge liest den Inhalt

    var pkcs12Asn1 = forge.asn1.fromDer(pkcs12Der);
var pkcs12 = forge.pkcs12.pkcs12FromAsn1(pkcs12Asn1, false, password);

    Dann bekommen Sie die privaten Schlüssel aus pkcs12 des gewünschten Zertifikats (siehe Schmieden doc) konvertieren, um PKCS # 8 importiert werden mit webcrypto

    //load keypair and cert chain from safe content(s) 
for(var sci = 0; sci < pkcs12.safeContents.length; ++sci) {
    var safeContents = pkcs12.safeContents[sci];

    for(var sbi = 0; sbi < safeContents.safeBags.length; ++sbi) {
        var safeBag = safeContents.safeBags[sbi];

        //this bag has a private key
        if(safeBag.type === forge.pki.oids.keyBag) {
            //Found plain private key
            privateKey = safeBag.key;
        } else if(safeBag.type === forge.pki.oids.pkcs8ShroudedKeyBag) {
            //found encrypted private key
            privateKey = safeBag.key;
        } else if(safeBag.type === forge.pki.oids.certBag) {
            //this bag has a certificate...        
        }   
    }
}

    Konvertieren PKCS#8

    function _privateKeyToPkcs8(privateKey) {
     var rsaPrivateKey = forge.pki.privateKeyToAsn1(privateKey);
     var privateKeyInfo = forge.pki.wrapRsaPrivateKey(rsaPrivateKey);
     var privateKeyInfoDer = forge.asn1.toDer(privateKeyInfo).getBytes();
     var privateKeyInfoDerBuff = stringToArrayBuffer(privateKeyInfoDer);
     return privateKeyInfoDerBuff;
 }
 function stringToArrayBuffer(data){
     var arrBuff = new ArrayBuffer(data.length);
     var writer = new Uint8Array(arrBuff);
     for (var i = 0, len = data.length; i < len; i++) {
         writer[i] = data.charCodeAt(i);
     }
     return arrBuff;
  }

    Schlüssel importieren in Webcrypto

    Und schließlich importieren Sie den Schlüssel in webcrypto

    function _importCryptoKeyPkcs8(privateKey,extractable) {
    var privateKeyInfoDerBuff = _privateKeyToPkcs8(privateKey);

    //Import the webcrypto key
    return crypto.subtle.importKey(
            'pkcs8', 
            privateKeyInfoDerBuff, 
            { name: "RSASSA-PKCS1-v1_5", hash:{name:"SHA-256"}},
            extractable, 
            ["sign"]);        

}
_importCryptoKeyPkcs8(entry.privateKey,extractable).    
        then(function(cryptoKey) {
            //your cryptokey is here!!!
        });

    Digitale Signatur

    Mit den importierten cryptoKey zurückgegeben, die von der oben beschriebenen Methode können Sie Zeichen mit webcrypto. 

    var digestToSign = forge.util.decode64(digestToSignB64);
var digestToSignBuf = stringToArrayBuffer(digestToSign);

crypto.subtle.sign(
            {name: "RSASSA-PKCS1-v1_5"},
            cryptoKey,
            digestToSignBuf)
.then(function(signature){
    signatureB64 = forge.util.encode64(arrayBufferToString(signature))
});

    Habe ich auch die Codierung von base64, da die Daten-Konvertierungen sind nicht trivial

    In pkc12 haben Sie auch die Zertifikatskette wenn Sie brauchen, um zu bauen erweiterte Formate wie AdES

    • Gibt es eine vordefinierte html+css template ich habe zu Folgen, mit dem forge-Bibliothek. Ich bekomme Fehler wie: "Uncaught TypeError: Cannot read property '' Klasse ' von undefined pkcs12.js:109"
    • auch: util.js:1569 Uncaught TypeError: Eingang.ersetzen Sie ist nicht eine Funktion util.js.1569 und mehrere andere Fehler. Ich lud mir eine aktuelle version von github
    • Forge ist reines javascript. Sie brauchen nicht, html oder css. ¿haben Sie gebaut, die minified .js? Importieren Sie die Quell-Dateien eine nach der anderen, da sind Abhängigkeiten. Bitte auch Angaben über den code, den Sie ausführen
    • Ich habe aktualisiert, der code, mit dem ich gearbeitet habe, habe ich nun die minified-version von forge und bekomme eine andere Fehlermeldung, ging ich in den code und fand diese Zeile, wo es passiert t.decode64=function(e){e=e.replace(/[^A-Za-z0-9\+\/\=]/g,"");
    • Ich denke, Sie sind mit einer Variablen des Typs Datei. Dekodieren der Inhalt der Datei, nicht die variable selbst. Verwenden readAsArrayBuffer und konvertieren uint8 String
    • danke, Sie wies mich in die richtige Richtung.
    • Es funktioniert gut, aber um zu überprüfen, die Signatur, die ich brauchen würde, um das Zertifikat hochladen. Wie konnte ich das serialisieren, die es mit forge?
    • Speichern Sie das öffentliche Zertifikat (safeBag.type === forge.pki.oids.certBag && safeBag.attributes.localKeyId) im PEM-format (Base64-codiert). Verwenden Sie die folgenden Schmiede Funktion: forge.pki.certificateToPem(safeBag.cert); Zum decodieren des cert verwenden forge.pki.certificateFromPem(certificatePem);
    • es scheint nicht zu sein, eine Funktion wie die Schmiede.pki.certificateToPem in der Dokumentation, aber im code klappt es Super
    • forge funktioniert gut, aber die Dokumentation ist nicht seine Stärke...
    • Welche web-Browser unterstützt forge Bibliothek unterstützen ?
    • Es ist eine Reine javascript-Bibliothek. Es sollte in jedem browser funktionieren. Ich persönlich habe versucht es auf alle diejenigen, die unterstützt durch die webcryptography api (außer opera) Finden Sie unter caniuse.com/#feat=cryptography

    InformationsquelleAutor pedrofb
Schreibe einen Kommentar