Атрибут SigningCertificateV2 в CAdES-BES

Как правильно определять сертификат подписанта?


Как правильно получить сертификат из минимальной CAdES-BES?

Если подпись формата CAdES-BES содержит минимально допустимые атрибуты, то присутствуют два обязательных подписанных атрибута:

SignerInfo -> SignerIdentifier -> IssuerAndSerialNumber
и
SigningCertificateV2 (ESSCertID) ::= SEQUENCE {
certHash Hash,
issuerSerial IssuerSerial OPTIONAL}

Для получения идентификатора сертификата нужно использовать CadesMsgGetSigningCertId() или CadesMsgGetSigningCertIdEncoded().
Эти функции возвращают CERT_ID с dwIdChoice==IssuerSerialNumber (из документации и практики).

Вопросы:
1. IssuerSerial - необязательный атрибут. Что в случае его отсутствия вернёт CadesMsgGetSigningCertId()?
2. Как получить SigningCertificateV2.certHash? Который нужен будет для сверки с найденным сертификатом.
3. CadesVerifyDetachedMessage() возвращает CADES_VERIFICATION_INFO.pSignerCert. Эта функция по умолчанию ищет сертификат в самом сообщении. Или опять же ищет по CERT_ID(IssuerSerialNumber). Делает ли эта функция проверку хэша сертификата из SigningCertificateV2?
4. Используют ли функции CadesMsgGetSigningCertId() и CadesVerifyDetachedMessage() данные из SignerInfo -> SignerIdentifier?