随着 WebCrypto API 的发展并得到 Chrome 和 Firefox 的支持,我想用它来对 PDF 文档进行数字签名。周围的文献并不多,但我找到了一些示例 [1] 和一个名为 PKI.js [2] 的库。在示例中,描述了签名过程,但最终返回了签名。我希望我的 Base64 PDF 文件以已签名的 Base64 字符串再次返回,但遗憾的是,事实并非如此。据我所知,PKI.js 也不提供对我的 Base64 PDF 进行签名的方法。
有没有办法只使用 JavaScript 和 WebCrypto API 签署 PDF?私钥可以输入<textarea>到浏览器的证书设置中,或者更好地存储在浏览器的证书设置中。
Base64 PDF(来自 REST API)→ 使用 JS 和证书签名→ 签名的 Base64 PDF(发送到 REST)
这在技术上是可行的,事实上这是我们在制作 PKIjs 时想到的场景之一(这就是为什么有这个示例) - https://pkijs.org/examples/PDFexample.html
也就是说,进行签名需要使用 PDF 结构本身,这需要自定义解析器或对现有解析器(例如 pdfjs)的修改。
长话短说,在浏览器中签署 PDF 需要很多工作,但这是我们正在努力的事情。
披露:我为 CISPL 工作。
截至目前,WebCrypto API 不提供对 (Windows) 或任何其他密钥库或本地加密 USB/智能卡设备的访问。
同样在大多数签名场景中,为了保护服务器边界内的 pdf 文件,不建议将完整的 pdf 文件发送到浏览器或签名 API 服务器。
因此,它的良好做法是创建用于签名的 PDF 哈希值,将哈希值发送到浏览器并通过浏览器扩展使用 javascript 来访问在本地系统上运行的某些应用程序以访问本地密钥库(或 USB/智能卡)并生成签名并发回( PKCS7 或 CMS 容器(在 PDF 签名的情况下)到服务器,其中签名可以注入回 PDF,从中创建哈希用于签名并发送到浏览器或签名 api 服务器。
对于基于浏览器的签名场景,我公司提供了一种免费的浏览器扩展 Signer.Digital 和服务器所需的 .NET 库。本地系统(在 Windows 上运行在 Chrome 浏览器后面的主机)可以从cNET 下载站点下载 安装此主机并重新启动 Chrome 将自动添加Signer.Digital Chrome 扩展和/或Signer.Digital Firefox 扩展
此处说明了此扩展的实际工作以及完整的代码演练和工作示例 VS 2015 项目源代码的下载链接。
从扩展调用方法的Javascript:
//Calculate Sign for the Hash by Calling function from Extension SignerDigital
SignerDigital.signPdfHash(hash, $("#CertThumbPrint").val(), "SHA-256") //or "SHA256"
.then(
function (signDataResp) {
//Send signDataResp to Server
},
function (errmsg) {
//Send errmsg to server or display the result in browser.
}
);
如果成功,则返回 Base64 编码的 pkcs7 签名 - 使用合适的库或 Signer.Digital 提供的库将签名注入 pdf
如果失败,则返回以“SDHost 错误”开头的错误信息:
有PDFSign.js,一个可以在浏览器中签署 PDF 文件的库。虽然它使用伪造作为签名。如果PKI.js支持分离的pkcs7签名,那么替换forge应该很容易。
您可以使用 openpgp.js 签署任何文件(包括 pdf)
https://openpgpjs.org/openpgpjs/doc/#create-and-verify-detached-signatures
(向下滚动到“创建并验证分离的签名”)
将文件作为 Uint8Array 读取并使用您的私钥对其进行签名。