Добрый день. Это не так просто, потому что есть разница что именно должно быть подписано в конкретном формате на основе PKCS7 - хотя пишут PKCS7 на деле может проверяться как CMS (старый базовый формат) или как CADES-BES (новый базовый формат). Обычно нужно ориентироваться на новый CADES-BES. Есть случай когда должен подписываться хэш исходного текста и есть случай когда подписывается хэш от атрибутов подписи среди которых есть хэш исходного текста. Чаще всего нужен второй, выберете неверно и подпись не проверится. Во втором случае набор атрибутов также может отличаться, то есть надо знать что нужно и сверяться с RFC какие атрибуты подписанные, а какие нет.

Ну а если интересен сам процесс сборки, то вот недавно была тема с кодом сборки CMS "среднего уровня" на Джаве ("высокого уровня" это когда передаете текст и сертификат и получаете готовую подпись не занимаясь ручным подсчетом хэша/RAW подписи, "среднего уровня" когда задаются свойства/атрибуты из них автоматом формируется побайтово, "низкого уровня" когда формируете побайтово или кодируя ASN1 библиотеками), но похоже там как раз не учтен нюанс что надо подписывать.

https://www.cryptopro.ru...aspx?g=posts&t=18450