一、证书文件验证的问题解决 #

你原本使用的OpenSSL证书验证命令仅检查证书格式有效性，不涉及证书链或信任状态验证：

openssl x509 -in <CERT_FILE> -noout

而你当前用的certutil -verify <CERT_FILE>会执行完整的证书链验证（包括信任锚校验、吊销状态检查等），这就是它返回非0失败的核心原因——两者的验证逻辑完全不同。

如果要和OpenSSL命令实现等效的格式合法性验证，改用这条CertUtil命令：

certutil -dump <CERT_FILE>

该命令会解析证书内容，格式无效时直接报错；格式合法则输出证书详情，返回0表示验证成功。

二、CMS签名文件的等效验证命令 #

对应OpenSSL的CMS签名验证命令：

openssl cms -verify -binary -content <INPUT_FILE> -inform PEM -purpose any -CAfile <CERT_FILE> -inform DER -in <SIGNATURE_FILE>

Windows下可通过以下CertUtil命令实现等效验证，需根据签名文件的编码格式调整：

场景1：签名文件为DER格式 #

certutil -verify -signature <SIGNATURE_FILE> <INPUT_FILE> -CAfile <CERT_FILE>

场景2：签名文件为PEM格式 #

先将PEM编码的签名转为DER格式，再执行验证：

certutil -decode <SIGNATURE_FILE> temp_signature.der
certutil -verify -signature temp_signature.der <INPUT_FILE> -CAfile <CERT_FILE>
del temp_signature.der

补充说明 #

• 若不需要验证证书信任链（和OpenSSL的-purpose any逻辑对齐），可添加-f参数强制跳过信任检查：

  certutil -verify -f -signature <SIGNATURE_FILE> <INPUT_FILE> -CAfile <CERT_FILE>
  

• 验证成功时CertUtil返回0；失败则返回非0值，并输出具体错误信息。

内容的提问来源于stack exchange，提问作者Bim