CA証明書へのアクセス

[hamano]

CA証明書(認証・署名)を参照できるようにする。

[frusho]

恐れ入ります。OpenSCを使って、PDFファイルへの個人番号カードでの電子署名を試みている者です。 （個人番号カードで署名したPDFを法務局にオンライン提出することで不動産登記や法人登記が可能なのですが、現状Windowsシステム上で有料のAdobe Acrobat等を使わざるを得ない事になっているものですから…）

JSignPDFからopensc-pkcs11.soを参照して、認証用鍵で署名することは出来ましたが、署名用鍵での署名には失敗します。 おそらく $ pkcs15-tool -r 2 が失敗することと関係あるのではと思っています。

hamano様のご活躍にご期待申し上げます。

[hamano]

pkcs15-tool -r 2が失敗する理由につきまして、個人番号カードではPINの入力後でないと署名用証明書を参照できないという特殊な事情があります。 OpenSCではこの様なカードを想定していなかったようで、単純にpkcs15-toolというコマンドラインツールにPIN入力をしてから証明書を参照するというインターフェースが用意されていないというだけの様です。 そのうち対応したいと思っていますがインターフェースの問題なので優先度は低いです。

JSignPDFの動作につきまして、上記に関連しているかわかりませんが、 OpenSCにはpkcs11-spyというライブラリが付属しており、PKCS11のAPI呼び出しをトレースできます。 https://github.com/OpenSC/OpenSC/wiki/Using-OpenSC#pkcs-11-spy これを利用して、AcrobatとJSignPDFの挙動の違いを見つけられれば動作させることができるかもしれません。

issue #3 #4 を立てました。

[hamano]

0bdf4203489d3143b5df3c3a438e850a6251059d 以降

$ pkcs15-tool -r 3
$ pkcs15-tool -r 4

でCA証明書の参照が可能。 -r 2 で署名用証明書を参照できない問題はこちら #3

[frusho]

親切にご教示いただきましてありがとうございます。

署名用証明書の読み出しについては、上位アプリケーション(pkcs15-toolやJSignPDF)側の手続きの問題である可能性が高いと言う事ですね。JSignPDFのソースについても精査してみたいと思います。

今後とも参考にさせていただきます。重ね重ねありがとうございます。