ESig DSS 签名验证始终返回 INDETERMINATE

php小编新一为您介绍：在Java开发中，ESig DSS签名验证时始终返回"INDETERMINATE"可能是由于签名不完整或无法验证所致。此问题通常涉及数字证书、签名算法等方面，需要仔细检查签名数据和验证流程。解决方法包括检查签名算法、证书有效性、签名数据完整性等方面，确保所有步骤正确无误。通过仔细排查可能的问题，可以解决这一常见的签名验证困扰，确保系统的数据安全和完整性。

问题内容

我正在尝试使用欧盟委员会赞助的数字签名服务 (dss) 库 5.12.1 来验证数字签名 pdf 和 xml 的电子签名。

我使用的代码是

byte[] binaryPdf = Base64.getDecoder().decode(base64EncodedDocument);
CommonTrustedCertificateSource trustedCertSource = new CommonTrustedCertificateSource();
CertificateVerifier cv = new CommonCertificateVerifier();
cv.setAIASource(new DefaultAIASource());
cv.setOcspSource(new OnlineOCSPSource());
cv.setCrlSource(new OnlineCRLSource());
cv.addTrustedCertSources(trustedCertSource);
DSSDocument document = new InMemoryDocument(binaryPdf, shortFileName);
SignedDocumentValidator documentValidator = SignedDocumentValidator.fromDocument(document);
documentValidator.setCertificateVerifier(cv);
UserFriendlyIdentifierProvider userFriendlyIdentifierProvider = new UserFriendlyIdentifierProvider();
documentValidator.setTokenIdentifierProvider(userFriendlyIdentifierProvider);
Reports reports = documentValidator.validateDocument();

在 dss 文档 pdf 中指出。我的应用程序总是获得带有子指示 no_certificate_chain_found 的 indeterminate 指示（在证书链的证书元素中可见）。它找不到信任锚。当我使用示例应用程序 5.12.1 进行签名验证并尝试验证同一文档时，我得到了预期的 total_passed 指示。我的应用程序可以访问互联网。我做错了什么？ 谢谢！

解决方法

示例应用程序和您的代码之间存在差异。
示例应用程序附带预配置的受信任根列表 (EU LOTL)。
您的代码附带一个空的 CommonTrustedCertificateSource （即没有证书受信任）

参见DSS FAQ

因此您需要向 CommonTrustedCertificateSource 添加一些证书。如果您仅验证自己创建的签名，请将您的 CA 根/签名证书添加到受信任的来源。如果您要验证第三方签名，解决方案会更加复杂。例如，您可以从 PDF 中提取所有经过认证的内容，并在验证之前将它们添加到受信任列表中

以上是ESig DSS 签名验证始终返回 INDETERMINATE的详细内容。更多信息请关注PHP中文网其他相关文章！