Como generar un token PKCS7

openssl smime -sign -in msg.txt -signer mycert.pem -inkey key.pem -out msg.sgn -certfile mycert.pem -nodetach

y luego se pasa a pkcs7 con el comando:

openssl smime -pk7out -in msg.sgn -out msg.pem

donde:
msg.txt es el mensaje a firmar
msg.pem es el token firmado
mycert.pem es el certificado que contiene la clave privada de quien firma.
key.pem es la clave privada del firmante.