WinCE Security --- X509证书及私钥的导入

作者：ARM-WinCE

在WinCE下如果想导入X509证书及私钥，需要用到微软的CryptoAPI函数集，这是微软提供的专门用来支持PKI相关功能的模块。相信有些人知道在Linux下用的是Openssl，我会在后面介绍基于WinCE和Linux不同的平台，如何彼此进行证书验证以及加解密。今天这里先介绍一下证书和私钥的导入。

WinCE支持CryptoAPI函数，但是和Windows环境相比还是有些区别，主要是对一些Hash算法，加解密算法支持的不是很好。在WinCE下调用CryptoAPI函数实现的功能在Windows环境下运行没什么问题，但是反之，就不一定了。

下面先介绍一下证书及私钥导入的相关函数：

1. HCERTSTORE WINAPI CertOpenStore(LPCSTR lpszStoreProvider, DWORD dwMsgAndCertEncodingType, HCRYPTPROV hCryptProv, DWORD dwFlags, const void* pvPara)

该函数用于打开一个证书库。

lpszStoreProvider: 证书库提供者，可以是一个文件，也可以来自一个注册表中的键值，或者是系统证书库等。

dwMsgAndCertEncodingType: 没有被使用，设置为0

hCryptProv: 密钥提供者，一般设置为NULL表示使用默认的提供者

dwFlags: 打开证书库的标记位，描述如何打开一个证书库

pvPara: 依赖于第一个参数证书提供者，说明具体的证书提供者

该函数如果调用成功，将会返回打开证书库的句柄。

2. BOOL WINAPI CertCloseStore(HCERTSTORE hCertStore, DWORD dwFlags)

该函数用于关闭一个证书库。

hCertStore: 要关闭的证书库的句柄

dwFlags: 标记位，表示如何关闭证书库

该函数调用成功，将返回TRUE

3. PCCERT_CONTEXT WINAPI CertEnumCertificatesInStore(HCERTSTORE hCertStore, PCCERT_CONTEXT pPrevCertContext)

该函数用于枚举证书库中的X509证书，该函数可以在循环中反复被调用从而枚举每一个X509证书。

hCertStore: 已打开证书库的句柄

pPrevCertContext: 指向上一个被找到的X509证书，如果该参数为NULL，表示第一次被调用

该函数调用成功，将返回被枚举的X509证书结构信息

这里说一下PCCERT_CONTEXT，也就是该函数的返回值，它是一个指针指向CERT_CONTEXT，该结构用于描述X509证书信息，其中包括证书的类型，编码后的证书数据，大小，以及具体X509证书内部的详细信息，比如加密算法，Public key等。

4. BOOL WINAPI CertFreeCertificateContext(PCCERT_CONTEXT pCertContext)

该函数用于释放一个证书结构。

PCCERT_CONTEXT: 要被释放的X509证书结构的指针

该函数调用成功，返回TRUE。

5. BOOL WINAPI CertAddEncodedCertificateToStore(HCERTSTORE hCertStore, DWORD dwCertEncodingType, const BYTE* pbCertEncoded, DWORD cbCertEncoded, DWORD dwAddDisposition, PCCERT_CONTEXT* ppCertContext)

该函数用于添加一个X509证书到证书库当中

hCertStore: 已打开证书库的句柄

dwCertEncodingType: 证书的编码类型，这里只能是X509_ASN_ENCODING，表示X509经过ASN.1编码后的证书

pbCertEncoded: 指向要添加的证书数据

cbCertEncoded: 证书的大小

dwAddDisposition: 添加证书标记位，描述添加方法

ppCertContext: 返回经过解码后的证书，一般设置为NULL，如果不为NULL，该结构要通过CertFreeCertificateContext函数释放

该函数调用成功，返回TRUE。

6. BOOLEAN CRYPTFUNC CryptAcquireContext(HCRYPTPROV* phProv, LPCTSTR pszContainer, LPCTSTR pszProvider, DWORD dwProvType, DWORD dwFlags)

该函数用于获得一个可用的密钥容器。

phProv: 返回一个密钥容器提供者的句柄

pszContainer: 密钥容器的名字，如果该参数为NULL，一个默认的秘钥容器名将被使用，如果最后一个参数类型为CYRPT_VERIFYCONTEXT，则该参数必须为NULL

pszProvider: 密钥容器提供者的名字，为NULL，表示使用一个默认的秘钥容器提供者

dwProvType: 要获得的提供者的类型

dwFlags: 密钥容器标记位，描述如何使用密钥容器

该函数调用成功，返回TRUE。

7. BOOL WINAPI CryptImportKey( HCRYPTPROV hProv, BYTE* pbData, DWORD dwDataLen, HCRYPTKEY hPubKey, DWORD dwFlags, HCRYPTKEY* phKey)

该函数用于导入密钥到密钥容器中。

hProv: 密钥容器的句柄

pbData: 密钥数据，必须是密钥BLOB格式

dwDataLen: 密钥数据长度

hPubKey: 一个公钥的句柄，如果导入的密钥是经过签名或者加密的，需要该公钥进行验证或者解密。如果导入的密钥没有加密，该参数为0

dwFlags: 导入标记位，一般为CRYPT_EXPORTABLE

phKey: 返回导入密钥的句柄

该函数调用成功，返回TRUE。

8. CryptExportPublicKeyInfo(HCRYPTPROV hCryptProv, DWORD dwKeySpec, DWORD dwCertEncodingType, PCERT_PUBLIC_KEY_INFO pInfo, DWORD *pcbInfo)

该函数用于导出公钥信息。

hCryptProv: 密钥容器的句柄

dwKeySpec: 密钥的类型，可以是AT_KEYEXCHANGE或者AT_SIGNATURE

dwCertEncodingType: 编码类型，应该是X509_ASN_ENCODING

pInfo: 指向导出的公钥信息

pcbInfo: 作为输入指向Buffer的大小，作为输出表示到处公钥信息的长度

9. PCCERT_CONTEXT WINAPI CertFindCertificateInStore(HCERTSTORE hCertStore, DWORD dwCertEncodingType, DWORD dwFindFlags, DWORD dwFindType, const void* pvFindPara, PCCERT_CONTEXT pPrevCertContext)

该函数用于在证书库中查找一个X509证书。

hCertStore: 已打开的证书库的句柄

dwCertEncodingType: 证书的类型，只能是X509_ASN_ENCODING

dwFindFlags: 没被使用，设置为0

dwFindType: 指定查找方法，设置为NULL表示返回下一个证书，也可以设置根据发行者信息，证书的ID，public key以及签名等信息来查找

pvFindPara: 指向查找的信息

pPrevCertContext: 指向最后一次调用该函数返回的证书信息，一般设置为NULL

该函数调用成功，将返回找到的证书的信息结构。如果没有找到证书，将返回NULL。

10. BOOL CRYPTFUNC CryptDestroyKey(HCRYPTKEY hKey)

该函数用于释放一个被导入的密钥的句柄。

hKey: 曾经被导入到密钥容器中的密钥句柄

函数调用成功，返回TRUE。

11. BOOL WINAPI CryptReleaseContext(HCRYPTPROV hProv, DWORD dwFlags)

该函数用于释放一个以获得的密钥容器。

hProv: 密钥容器的句柄

dwFlags: 没被使用，设置为0

该函数调用成功，返回TRUE。

看完上面的介绍，但是感觉不知如何入手。我第一次使用CryptoAPI就是这种感觉，看完MSDN以后，还是不知道怎么用。幸好WinCE的控制面板中提供了证书和私钥导入的工具，同时也提供了源代码，源代码在” D:\WINCE600\PUBLIC\WCESHELLFE\OAK\CTLPNL\CPLMAIN”下面的certcpl.cpp文件中。我在看过源代码后，将部分移植到我的应用中用于证书和私钥的导入，下面结合代码介绍一下函数的使用。

//初始化函数，打开证书库

DWORD Cert_Init(void)

{

DWORD fRet = FALSE;

HANDLE hCaStore;

PCCERT_CONTEXT pCaCert;

WCHAR szName[512];

//加载Crypt32.dll库

g_hCrypt32 = LoadLibraryW(L"crypt32.dll");

g_CaPubKeySize = 0;

if (g_hCrypt32)

{

pCertOpenStore = (PFNCERTOPENSTORE)GetProcAddressW(g_hCrypt32, L"CertOpenStore");

pCertAddEncodedCertificateToStore = (PFNCERTADDENCODEDCERTIFICATETOSTORE)GetProcAddressW(g_hCrypt32, L"CertAddEncodedCertificateToStore");

pCertCloseStore = (PFNCERTCLOSESTORE)GetProcAddressW(g_hCrypt32, L"CertCloseStore");

pCryptExportPublicKeyInfo = (PFNCRYPTEXPORTPUBLICKEYINFO)GetProcAddressW(g_hCrypt32, L"CryptExportPublicKeyInfo");

pCertFindCertificateInStore = (PFNCERTFINDCERTIFICATEINSTORE)GetProcAddressW(g_hCrypt32, L"CertFindCertificateInStore");

pCertSetCertificateContextProperty = (PFNCERTSETCERTIFICATECONTEXTPROPERTY)GetProcAddressW(g_hCrypt32, L"CertSetCertificateContextProperty");

pCertFreeCertificateContext = (PFNCERTFREECERTIFICATECONTEXT)GetProcAddressW(g_hCrypt32, L"CertFreeCertificateContext");

pCryptAcquireCertificatePrivateKey = (PFNCRYPTACQUIRECERTIFICATEPRIVATEKEY)GetProcAddressW(g_hCrypt32, L"CryptAcquireCertificatePrivateKey");

pCryptDecodeObjectEx = (PFNCRYPTDECODEOBJECTEX)GetProcAddressW(g_hCrypt32, L"CryptDecodeObjectEx");

pCryptImportPublicKeyInfoEx = (PFNCRYPTIMPORTPUBLICKEYINFOEX)GetProcAddressW(g_hCrypt32, L"CryptImportPublicKeyInfoEx");

pCertEnumCertificatesInStore = (PFNCERTENUMCERTIFICATESINSTORE)GetProcAddressW(g_hCrypt32, L"CertEnumCertificatesInStore");

// 打开证书库

hStore = pCertOpenStore(CERT_STORE_PROV_SYSTEM, 0, 0, CERT_SYSTEM_STORE_CURRENT_USER | CERT_STORE_MAXIMUM_ALLOWED_FLAG, TEXT("My"));

if (hStore != NULL)

{

fRet = TRUE;

}

}

return fRet;

}

//导入X509证书，lpszFileName为证书的路径

DWORD Cert_ImportCert(LPTSTR lpszFileName)

{

DWORD dwSize, dwRealSize;

PBYTE pbFile = NULL;

HANDLE hFile = INVALID_HANDLE_VALUE;

BOOL fRet = FALSE;

// 打开证书文件

hFile = CreateFile(lpszFileName, GENERIC_READ, 0, NULL, OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL, NULL);

if (hFile)

{ // 获得证书文件大小

dwSize = GetFileSize(hFile, NULL);

if (dwSize != 0xFFFFFFFF)

{ // 分配内存

pbFile = (PBYTE)LocalAlloc(LPTR, dwSize);

if (pbFile)

{ // 读入证书

if (ReadFile(hFile, pbFile, dwSize, &dwRealSize, NULL) == TRUE)

{

// 添加一个DER格式的X509证书到证书库

fRet = pCertAddEncodedCertificateToStore(hStore, X509_ASN_ENCODING,

pbFile, dwRealSize, CERT_STORE_ADD_NEWER_INHERIT_PROPERTIES,0);

if (fRet == TRUE)

{

printf("Import Certificate OK.\r\n");

}

else if (fRet = CRYPT_E_EXISTS)

{

printf("Certificate exists.\r\n");

fRet = TRUE;

}

else

{

printf("Import Certificate Error.\r\n");

}

}

}

}

}

if (hFile)

{

CloseHandle(hFile);

}

if (pbFile)

{

LocalFree(pbFile);

}

return fRet;

}

// 获得私钥中的密码，该函数会被Cert_ImportPrvtKey函数调用

static BOOL GetPasswordKey(

IN HCRYPTPROV hProv,

IN ALG_ID Algid,

IN PBYTE pbPswd,

IN DWORD dwPswdLen,

IN BYTE *pbSalt,

IN DWORD cbSalt,

OUT HCRYPTKEY *phEncryptKey

)

{

BOOL fResult;

BYTE *pbPassword;

DWORD cbPassword;

HCRYPTHASH hHash = 0;

HCRYPTKEY hEncryptKey = 0;

pbPassword = pbPswd;

cbPassword = dwPswdLen;

if (cbPassword)

{

if (!CryptCreateHash(hProv, CALG_SHA, 0, 0, &hHash))

goto ErrorReturn;

if (cbSalt) {

if (!CryptHashData(hHash, pbSalt, cbSalt, 0))

goto ErrorReturn;

}

if (!CryptHashData(hHash, pbPassword, cbPassword, 0))

goto ErrorReturn;

if (!CryptDeriveKey(hProv, Algid, hHash, 0, &hEncryptKey))

goto ErrorReturn;

}

fResult = TRUE;

goto CommonReturn;

ErrorReturn:

fResult = FALSE;

if (hEncryptKey)

{

CryptDestroyKey(hEncryptKey);

hEncryptKey = 0;

}

CommonReturn:

if (hHash)

CryptDestroyHash(hHash);

*phEncryptKey = hEncryptKey;

return fResult;

}

//导入PVK格式的私钥并在证书库中查找和它匹配的证书，lpFileName为私钥文件路径，pbPassword为私钥密码，dwPswdLen为密码长度

DWORD Cert_ImportPrvtKey(LPTSTR lpFileName, BYTE* pbPassword, DWORD dwPswdLen)

{

BOOL fRet = TRUE;

DWORD dwSize, dwRealSize, cbPvk, cbData;

PBYTE pbFile = NULL;

HANDLE hFile = INVALID_HANDLE_VALUE;

HCRYPTPROV hCryptProv = NULL;

PCERT_PUBLIC_KEY_INFO pcertpubkeyinfo = NULL;

BYTE *pbEncryptData = NULL;

BYTE *pbPvk = NULL;

CRYPT_KEY_PROV_INFO keyProvInfo;

HCRYPTKEY hKey = 0;

PCCERT_CONTEXT pCert = NULL;

HCRYPTHASH hHash = 0;

HCRYPTKEY hDecryptKey = 0;

// 打开私钥文件

hFile = CreateFile(lpFileName, GENERIC_READ, 0, NULL, OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL, NULL);

if (hFile)

{

dwSize = GetFileSize(hFile, NULL);

if (dwSize != 0xFFFFFFFF)

{

pbFile = (PBYTE)LocalAlloc(LPTR, dwSize);

if (pbFile)

{

if (ReadFile(hFile, pbFile, dwSize, &dwRealSize, NULL) == TRUE)

{

memcpy(szKeyContainer,TEXT("CERT"), sizeof(TEXT("CERT")));

// 检查密钥容器是否存在

if (CryptAcquireContext(&hCryptProv, szKeyContainer, NULL, CSP_ALGORITHM, 0) == FALSE)

{ //不存在，创建新的密钥容器

if (CryptAcquireContext(&hCryptProv, szKeyContainer, NULL, CSP_ALGORITHM, CRYPT_NEWKEYSET) == FALSE)

{

goto PvkErr;

}

}

// Check the Provider

if (!hCryptProv)

{

goto PvkErr;

}

#if 1