keytool 和 openssl 证书指纹不匹配

我试图在 META-INF/ 内对 Android 开发者证书进行指纹识别，以用于研究目的。

我发现在某些情况下，keytool 和 openssl 的输出会给我同一证书提供不同的 SHA1 指纹：

使用密钥工具：

keytool -princert -file META-INF/CERT.RSA
...
    SHA1: 9D:17:FB:AB:67:BB:D0:7B:12:FE:E8:33:7D:66:F1:C4:2B:03:BD:F7
...

使用openssl：

openssl pkcs7 -inform DER -in META-INF/CERT.RSA -print_certs -out CERT.cert
openssl x509 -in CERT.cert -fingerprint -noout
     SHA1 Fingerprint=80:D5:CD:66:6E:44:75:62:A8:B3:7E:5D:AC:00:DE:1D:FF:6B:E6:CA

这是正常的 - keytool 使用自己的方式来指纹证书，这与 openssl- 不同，我做错了什么，还是某个地方有错误？

顺便说一句，我不是专家，所以请随意提供任何建议，即使是最基本的东西！

如果您需要这样的示例，我可以为您提供发生这种情况的 Android 应用程序的名称。

提前致谢。

不同的SHA1指纹是由于代码签名证书的编码不同造成的。

第一个指纹（通过 keytool）是根据证书字节计算出来的，与 PKCS#7 文件中包含的证书字节完全相同META-INF/CERT.RSA。签名（证书的签名，而不是代码的签名）的长度在这里以两个字节进行编码，实际上一个字节就足够了。要了解这一点，我们必须查看 ASN.1 转储CERT.RSA。有几个程序可以做到这一点，但我推荐 Peter Gutmann 的dumpasn1/GUIdumpASN。相关部分是这样的：

    <06 09>
532   9:             OBJECT IDENTIFIER
       :               sha1WithRSAEncryption (1 2 840 113549 1 1 5)
    <05 00>
543   0:             NULL
       :             }
    <03 82 00 81>
545 129:           BIT STRING    
       :             65 26 30 0C 41 32 63 75    e&0.A2cu
       :             2F B7 DF 9A 96 37 72 1B    /....7r.

字节数82 00 81是编码在 BITSTRING（证书签名）中的长度字节长表.

根据杰出编码规则 DER the "必须使用尽可能短的长度编码“，这本来是81 81。这意味着代码签名证书不是完全 DER 编码的。

当您使用 openssl 导出证书时，它会将证书重新编码为有效的 DER：

    <03 81 81>
489 129:   BIT STRING    
        :     65 26 30 0C 41 32 63 75    e&0.A2cu
        :     2F B7 DF 9A 96 37 72 1B    /....7r. 

因此证书的哈希值（指纹）不同，它发生了变化。

keytool 和 openssl 都没有做错什么。 DER 编码的要点在于它始终生成完全相同的 ASN.1 结构字节表示形式。

导致此问题的软件是创建错误代码签名证书所使用的工具。