在Nucleo-F446RE开发板上对mbedtls/PKCS7的支持

发表于 2025-9-22 14:56

我需要基于PKCS7实现证书验证功能。使用的是STM32CubeIDE版本12015_20220302_0855。

我已启用MBEDTLS中间件模块，看到项目中添加了部分mbedTLS支持，但似乎缺少PKCS7功能。

有什么解决方案吗？还是说这个功能根本不支持？

发表于 2025-9-23 07:25

mbedTLS 在 STM32Cube 里默认不带 PKCS7 支持，它主要是 TLS/SSL 和基本加解密。

发表于 2025-9-23 07:25

PKCS7 一般要自己扩展，或者移植 OpenSSL 里相关的实现。

发表于 2025-9-23 07:26

你可以先确认下 CubeMX 生成的配置，看看 mbedtls_config.h 里有没有相关宏。

发表于 2025-9-23 07:27

我查过，mbedTLS 的官方源码里也没有原生 PKCS7，更多是 X.509、PKCS1、PKCS5。

发表于 2025-9-23 07:28

如果只需要证书验证，也许用 X.509 解析就够，不一定要走完整的 PKCS7。

发表于 2025-9-23 07:29

PKCS7 常用在签名和封装场景，STM32 上资源有限，移植起来不轻松。

发表于 2025-9-23 07:30

有些人是通过外部 PC 工具预处理 PKCS7，然后 MCU 只校验签名部分。

发表于 2025-9-23 07:30

你也可以考虑 tiny-asn1 之类的轻量级库配合 mbedTLS 来补 PKCS7。

发表于 2025-9-23 07:31

如果是安全启动之类应用，ST 自家的 SBSFU 方案可能比自己造轮子更省事。

发表于 2025-9-23 07:32

建议你在 ST 的 GitHub issue 或社区问下，有人可能已经做过 PKCS7 的移植。

[STM32F3] 在Nucleo-F446RE开发板上对mbedtls/PKCS7的支持