CSP:使用CryptoAPI解析X509证书基本项

最新推荐文章于 2024-05-16 16:21:29 发布
最新推荐文章于 2024-05-16 16:21:29 发布
阅读量8.2k 收藏 6
点赞数
分类专栏: CSP 文章标签: CryptoAPI X509 CSP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yyfzy/article/details/46790043
版权

        在之前的文章“CSP:使用CryptoAPI解码X509证书内容”里,讲述了如何使用CryptoAPI将证书文件解码,得到证书上下文句柄PCCERT_CONTEXT的方法。下面我们接着讲述如何通过证书上下文句柄,获得想要的证书项。本文先讲述如何获取证书的基本项,后面还有文章介绍如何获取证书的扩展项。

       下面的代码,都是假定已经通过解码证书文件、得到了证书上下文句柄m_pCertContext。至于如何解码证书文件、得到证书上下文句柄m_pCertContext,请阅读之前的文章。

        首先,我们看看关于证书上下文的结构定义:

typedef struct _CERT_CONTEXT {
    DWORD                   dwCertEncodingType;
    BYTE                    *pbCertEncoded;
    DWORD                   cbCertEncoded;
    PCERT_INFO              pCertInfo;
    HCERTSTORE              hCertStore;
} CERT_CONTEXT, *PCERT_CONTEXT;
typedef const CERT_CONTEXT *PCCERT_CONTEXT;

typedef struct _CERT_INFO {
    DWORD                       dwVersion;
    CRYPT_INTEGER_BLOB          SerialNumber;
    CRYPT_ALGORITHM_IDENTIFIER  SignatureAlgorithm;
    CERT_NAME_BLOB              Issuer;
    FILETIME                    NotBefore;
    FILETIME                    NotAfter;
    CERT_NAME_BLOB              Subject;
    CERT_PUBLIC_KEY_INFO        SubjectPublicKeyInfo;
    CRYPT_BIT_BLOB              IssuerUniqueId;
    CRYPT_BIT_BLOB              SubjectUniqueId;
    DWORD                       cExtension;
    PCERT_EXTENSION             rgExtension;
} CERT_INFO, *PCERT_INFO;

我们想要获取的证书基本项,有些就直接存在于这两个结构体中。

一、版本号

结构体CERT_INFO中的字段dwVersion即为证书版本,可以直接通过下面的代码获得:

DWORD dwCertVer = m_pCertContext->pCertInfo->dwVersion;
版本值的定义如下: 

#define CERT_V1     0
#define CERT_V2     1
#define CERT_V3     2
也就是说,V1的值为0;V3的值为2,目前绝大多是证书都是V3版本。

二、序列号

序列号对应结构体CERT_INFO中的字段SerialNumber,不过该字段为ASN.1编码的大数对象,需要解码才能转化为我们平时看到的十六进制序列号。获取序列号的函数如下:

ULONG CCSPCertificate::get_SN(LPSTR lptcSN,ULONG *pulLen)
{	
	CHAR scSN[512] = {0};

	if (!m_pCertContext)
	{
		return CERT_ERR_INVILIDCALL;
	}
	if (!pulLen)
	{
		return CERT_ERR_INVALIDPARAM;
	}
	
	PCRYPT_INTEGER_BLOB pSn = &(m_pCertContext->pCertInfo->SerialNumber);
	for (int n = (int)(pSn->cbData - 1); n >= 0; n--)
	{
		CHAR szHex[5] = {0};
		sprintf_s(szHex, "%02X", (pSn->pbData)[n]);
		strcat_s(scSN, 512, szHex);
	}

	if (!lptcSN)
	{
		*pulLen = strlen(scSN) + 1;
		return CERT_ERR_OK;
	}

	if (*pulLen <= strlen(scSN) + 1)
	{
		return CERT_ERR_BUFFER_TOO_SMALL;
	}
	strcpy_s(lptcSN, *pulLen, scSN);
	*pulLen = strlen(scSN);

	return CERT_ERR_OK;
}

三、公钥算法(证书算法)

证书中的公钥算法,需要通过CERT_INFO中字段SubjectPublicKeyInfo来获取。具体函数如下:

ULONG CCSPCertificate::get_KeyType(ULONG* pulType)
{	
	if (!m_pCertContext)
	{
		return CERT_ERR_INVILIDCALL;
	}
	if (!pulType)
	{
		return CERT_ERR_INVALIDPARAM;
	}

	PCERT_PUBLIC_KEY_INFO pPubKey = &(m_pCertContext->pCertInfo->SubjectPublicKeyInfo);
	if (pPubKey)
	{
		if (_stricmp(pPubKey->Algorithm.pszObjId, szOID_RSA_RSA) == 0)
		{
			*pulType = CERT_KEY_ALG_RSA;
		}
		else if (_stricmp(pPubKey->Algorithm.pszObjId, szOID_ECC_PUBLIC_KEY) == 0)
		{
			*pulType = CERT_KEY_ALG_ECC;
		}
		else 
		{
			*pulType = 0;
			return CERT_ERR_ALG_UNKNOWN;
		}
	}
	else
	{
		return GetLastError();
	}

	return CERT_ERR_OK;
}

四、证书用途

证书从用途来分,分为“签名证书”和“加密证书”两大类。“签名证书”的公钥用来验证签名,而“加密证书”的公钥则用来加密数据。我们需要通过调用函数CertGetIntendedKeyUsage()来获取证书的用途,具体函数实现如下:

ULONG CCSPCertificate::get_KeyUsage(ULONG* lpUsage)
{	
	BYTE btUsage[2] = {0};

	if (!m_pCertContext)
	{
		return CERT_ERR_INVILIDCALL;
	}
	if (!lpUsage)
	{
		return CERT_ERR_INVALIDPARAM;
	}

	if (CertGetIntendedKeyUsage(GLOBAL_ENCODING_TYPE, m_pCertContext->pCertInfo, btUsage, 2))
	{
		if (btUsage[0] & CERT_DIGITAL_SIGNATURE_KEY_USAGE)
		{
			*lpUsage = CERT_USAGE_SIGN;
		}
		else if (btUsage[0] & CERT_DATA_ENCIPHERMENT_KEY_USAGE)
		{
			*lpUsage = CERT_USAGE_EXCH;
		}
		else
		{
			*lpUsage = 0;
			return CERT_ERR_USAGE_UNKNOWN;
		}
	}
	else
	{
		return GetLastError();
	}

	return CERT_ERR_OK;
}

五、签名算法

证书的签名算法,是指证书用来签名时使用的算法(包含HASH算法)。签名算法用结构体CERT_INFO中SignatureAlgorithm字段来表示,可以通过SignatureAlgorithm的子字段pszObjId返回签名算法的Oid,这样对比Oid就可以知道签名算法的具体含义了。pszObjId常见得定义如下:

#define CERT_SIGNATURE_ALG_RSA_RSA	"1.2.840.113549.1.1.1"   //RSA直接签名
#define CERT_SIGNATURE_ALG_MD2RSA	"1.2.840.113549.1.1.2"   //MD2作Hash、然后RSA签名
#define CERT_SIGNATURE_ALG_MD4RSA	"1.2.840.113549.1.1.3"   //MD4作Hash、然后RSA签名
#define CERT_SIGNATURE_ALG_MD5RSA	"1.2.840.113549.1.1.4"   //MD5作Hash、然后RSA签名
#define CERT_SIGNATURE_ALG_SHA1RSA	"1.2.840.113549.1.1.5"   //SHA1作Hash、然后RSA签名
#define CERT_SIGNATURE_ALG_SM3SM2	"1.2.156.10197.1.501"    //SM3作Hash、然后SM2签名
由于Windows对SM2/SM3算法还没有定义,所以对于ECC证书,Windows直接显示签名算法的Oid:“1.2.156.10197.1.501”,如下图所示:



六、颁发者

关于颁发者,我们可以通过CERT_NAME_ISSUER_FLAG获取属性。具体通过下面两个函数实现:

ULONG CCSPCertificate::get_Issuer(LPSTR lpValue, ULONG *pulLen)
{
	ULONG hr = CERT_ERR_OK;
	ULONG ulIssuerLen = 0;
	LPTSTR lpszIssuer = NULL;
	
	if (!m_pCertContext)
	{
		return CERT_ERR_INVILIDCALL;
	}
	if (!pulLen)
	{
		return CERT_ERR_INVALIDPARAM;
	}
	
	hr = _GetPropertyValue(szOID_COMMON_NAME, CERT_NAME_ISSUER_FLAG, NULL, ulIssuerLen);
	if (0 != hr || ulIssuerLen == 0)
	{
		return hr;
	}

	if (!lpValue)
	{
		*pulLen = ulIssuerLen;
		return CERT_ERR_OK;
	}
	if (*pulLen <ulIssuerLen)
	{
		return CERT_ERR_BUFFER_TOO_SMALL;
	}
	
	hr = _GetPropertyValue(szOID_COMMON_NAME, CERT_NAME_ISSUER_FLAG, lpValue, *pulLen);
	if (0 != hr)
	{
		return hr;
	}

	return hr;
}

ULONG CCSPCertificate::_GetPropertyValue(LPCSTR szOId, DWORD dwSourceId, LPSTR lpValue, DWORD &dwValLen)
{
	if (!m_pCertContext)
	{
		return CERT_ERR_INVILIDCALL;
	}
	
	dwValLen = CertGetNameStringA(m_pCertContext, CERT_NAME_ATTR_TYPE, 
		dwSourceId == CERT_NAME_ISSUER_FLAG ? 1 : 0, (void*)szOId, NULL, 0);
	if (dwValLen <= 1)
	{
		return GetLastError();
	}

	if (!lpValue)
	{
		return CERT_ERR_OK;
	}

	dwValLen = CertGetNameStringA(m_pCertContext, CERT_NAME_ATTR_TYPE, 
		dwSourceId == CERT_NAME_ISSUER_FLAG ? 1 : 0, (void*)szOId, lpValue, dwValLen);
	if (dwValLen <= 1)
	{
		return GetLastError();
	}

	return CERT_ERR_OK;
}

七、使用者

证书使用者用结构体CERT_INFO中Subject字段表示,不过是NAME_BLOB类型,需要调用CertNameToStr()转化为最终的字符串。具体实现函数如下:

ULONG CCSPCertificate::get_SubjectName(LPSTR lpValue, ULONG *pulLen)
{	
	DWORD dwSubjectLen = 0;
	CERT_NAME_BLOB certSubject;

	if (!m_pCertContext)
	{
		return CERT_ERR_INVILIDCALL;
	}
	if (!pulLen)
	{
		return CERT_ERR_INVALIDPARAM;
	}

	certSubject = m_pCertContext->pCertInfo->Subject;
	dwSubjectLen = CertNameToStr(GLOBAL_ENCODING_TYPE, &certSubject, CERT_X500_NAME_STR, NULL, 0);
	if (dwSubjectLen <= 1)
	{
		return E_FAIL;
	}

	if (!lpValue)
	{
		*pulLen = dwSubjectLen;
		return CERT_ERR_OK;
	}
	if (*pulLen < dwSubjectLen)
	{
		return CERT_ERR_BUFFER_TOO_SMALL;
	}

	*pulLen = CertNameToStrA(GLOBAL_ENCODING_TYPE, &certSubject, CERT_X500_NAME_STR, lpValue, *pulLen);
	if (*pulLen <= 1)
	{
		return GetLastError();
	}

	return CERT_ERR_OK;
}

八、有效期限

证书的有效期,在结构体CERT_INFO中,对应于字段NotBefore和NotAfter,两者都是FILETIME类型。可以使用下面的函数,将其转化为SYSTEMTIME类型:

ULONG CCSPCertificate::get_ValidDate(SYSTEMTIME *ptmStart, SYSTEMTIME *ptmEnd)
{
	FILETIME ftStart;
	FILETIME ftEnd;

	if (!m_pCertContext)
	{
		return CERT_ERR_INVILIDCALL;
	}

	if (ptmStart)
	{
		memcpy(&ftStart, &m_pCertContext->pCertInfo->NotBefore, sizeof(FILETIME));
		FileTimeToSystemTime(&ftStart, ptmStart);
	}
	if (ptmEnd)
	{
		memcpy(&ftEnd, &m_pCertContext->pCertInfo->NotAfter, sizeof(FILETIME));
		FileTimeToSystemTime(&ftEnd, ptmEnd);
	}

	return CERT_ERR_OK;
}

至此,X509证书的基本项均已解析完毕!如需获取证书的扩展项或者公钥等数据,请关注后续博文。

yyfzy
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
CryptoAPI ukey获取证书以及签名流程
08-28
本文整理了如何使用CryptoAPI 操作ukey进行数字签名。附上流程和部分代码,讲解cryptoapi实际应用以及应用中关键问题的解决方法,在这里,仅介绍数字签名(加密流程类似,但是,操作略有不同,所需要的函数也不同),CryptoAPI是微软根据国际标准提供的一套接口。用于应用程序在对用户的敏感私钥数据提供保护时,以灵活的方式对数据进行加密或数字签名。
[VC++]CryptoAPI解析X509证书信息
南瓜饼
08-01 2670
PCCERT_CONTEXT pCertContext = CertCreateCertificateContext(X509_ASN_ENCODING, CerInfo, outLen); DWORD version = pCertContext->pCertInfo->dwVersion; // 证书版本号 //证书序列号 CRYPT_INTEGER_BLOB snBlob = pCer
Go-RSA加密解密详解与代码_go rsa
最新发布
2401_84971057的博客
05-16 401
W.Diffie和Hellman发表了著名的文章《密码学的新方向》首次提出了公钥密码算法的思想。公钥密码体制为密码学的发展提供了新的理论和技术思想,一方面公钥密码算法是建立在数学函数基础上的,而不是建立在字符或位方式的操作上的;另一方面公钥密码算法是以非对称的形式使用加密密钥和解密密钥,这两个密钥的使用对密钥管理、认证等都有着深刻的实际意义。可以说,公钥密码体制的出现在密码学发展史上是一次质的飞跃。1978年,Rivest,Shamir和A。
CSP使用CryptoAPI解码X509证书内容
密码开发者
06-29 5059
通过CryptoAPI解码X509证书文件,包括*.cer/*.p7b/*.pfx格式文件。
Ruby 开发环境安装linux、mac,遇到的错误总结(使后人避免入坑)
ice_bling的博客
07-01 3604
一、linux安装ruby时遇到的错误首先讲一下为什么不写Windows的,个人建议,最好不要用Windows环境,问题很多,需要安装的东西更多,而且未知的错误多,网上不一定查的到,我也安装过Windows的,也成功过,但是,有时运行会报错,后来放弃了,安了个Linux的,再后来用了mac系统,简直爽的飞起,闲话不多说,步入正题,Linux下安装步骤,其实也挺简单,就是有时会遇到错误,我经历的,把...
TLS/SSL 协议详解(6) SSL 数字证书的一些细节1 证书验证
Network/Storage/Linux Kernel
09-06 6121
证书关系到了SSL的众多安全性,比如身份认证,密钥交换。所以有必要单拉出一章来讲证书。本章完善一下前几节中的身份认证的一些缺点。 首先,通过前面讲解,我们知道,证书需要几个重要的字段。例如“拥有者”、“颁发者”、“截止日期”。另外,生成证书的时候会自动生成一份“公钥”以及对应的“私钥”。现在假设我开了一个网站,准备用SSL加密的,需要让全世界信任我这个网站,那么我就需要一个证书,这时候...
cryptoAPI接口(五)------------获取证书--演示 CryptUIDlgViewCertificate
xiaoniao2003的专栏
04-04 1816
/*  *   *   * 文件名称:CertMsg.cpp  * 摘    要:  *       对证书一系列操作的封装,包括查找证书,验证证书合法性等  *   * 作    者:周绍禹  * 创建日期:2012年2月29日  */   #include "StdAfx.h"   #include "CertMsg.h"   #include "base64.h"  
MicroSoft CSP CryptoAPI教程
12-11
CryptoAPI(一个应用程序编程接口)目的就是提供开发者在Windows下使用PKI的编程接口。CryptoAPI提供了很多函数,包括编码、解码、加密、解密、哈希、数字证书证书管理和证书存储等功能。对于加密和解密,Crypto...
CSP开发基础大全(CryptoAPI)
04-22
CSP开发基础大全是指使用CryptoAPI开发加密应用程序的基础知识,涵盖了加密API的国际标准和规范、微软CryptoAPICryptoAPI在系统中的地位、信息隐藏、身份鉴别、完整性检验等方面的知识点。 一、加密API的国际标准...
csp使用Google OR-Tools减少库存问题的算法。 链接到该工具:
02-04
切割库存问题(CSP)处理从给定的库存目(通常具有固定大小)切割目(棒/片)的计划。 切割库存问题的新手? 视觉理解 CSP的此实现试图回答 如何在削减客户订单时最大程度地减少库存物品的使用 在这样做的同时...
CSP:内容安全策略详解.zip
03-31
**二、CSP基本概念** 1. **指令集**:CSP由一系列指令组成,每个指令控制一种类型的网络请求。例如,`script-src` 控制JavaScript的加载,`img-src` 控制图片的加载。 2. **源列表**:每个指令后面可以跟一个或...
X509证书解析C语言实现
06-06
1、完整的X509证书解析方案,C语言实现; 2、内含测试程序,在Linux环境下进入目录后make即可编译,已经在ubuntu16.04环境下编译测试OK; 4、已经在扫码POS认证中得到应用,解析证书的序列号、公钥; 5、漂亮的解析ASN1(TLV数据格式)算法及完整解析X509证书逻辑 6、支持对der/pem格式的证书解析 7、内含base64编码/解码的C语言代码
转载:公钥、私钥、USBKey、CSP、数字证书CryptoAPI的简介
andersonanya的博客
10-11 5366
数字证书:英文digital certificate,在因特网上,用来标志和证明网络通信双方身份的数字信息文件。包含一个公开密钥、名称以及证书授权中心的数字签名。 公开密钥:对外公开,私钥则有自己保存,用其中一把密钥加密,另一把密钥用于解密。(非对称密钥,典型的算法代表是RSA) 私钥用来进行解密和签名,而公钥则由本人公开,为一组用户所共享,用于加密和验证签名。 在网上查阅了一些例证和示意图
CryptAPI 取得 证书序列号 的操作
wdt3385的专栏
07-20 1926
CryptAPI 取得 证书序列号 的操作     通过Win32 CryptAPI查找个人证书库(MY)中的指定的证书的序列号。显示之。证书的序列号经过处理,和IE中显示的一样(只是人为地去掉了空格)。  #include #pragma comment(lib, "comsupp.lib") 头文件 view plainprint?
oracle数字签名,验证微软数字签名
weixin_29471541的博客
04-04 191
//filename:MicrosoftVerify.h#ifndef _MICROSOFTVERIFY_H_#define _MICROSOFTVERIFY_H_#include "windows.h"typedef struct WINTRUST_FILE_INFO_{DWORD cbStruct;LPCWSTR pcwszFilePath;HANDLE hFile;GUID* pg...
解析X509证书
迷茫的小莱
08-19 3190
原文:http://hi.baidu.com/lidhcn/item/5476d292a0710eda1a49df60 1.从磁盘上的证书文件中读取证书数据 unsigned char* pbX509Data; // 证书数据    unsigned long ulX509DataLen; // 证书数据长度  2.获取CertContext    PCCERT_CONTEXT pCer
CertFindCertificateInStore查找证书
甜筒八部 的专栏
08-14 1380
CertFindCertificateInStore 这个函数 PCCERT_CONTEXT WINAPI CertFindCertificateInStore( HCERTSTORE hCertStore, DWORD dwCertEncodingType, DWORD dwFindFlags, DWORD dwFindType, const void* pvFindPara, PCCERT_CONTEXT pPrevCertConte.
使用CryptoAPI解析X509证书和P12证书
weixin_33757911的博客
09-21 255
一、解析X509证书1.从磁盘上的证书文件中读取证书数据unsigned char* pbX509Data; // 证书数据unsigned long ulX509DataLen; // 证书数据长度2.获取CertContextPCCERT_CONTEXT pCertContext = CertCreateCertificateContext(X509_ASN_ENCODING, pbX509D...
CSP介绍、以及使用CryptoAPI枚举CSP并获取其属性
aoe41606的博客
02-26 281
CSP,全名为“加密服务提供者(Cryptographic Service Provider)”,是微软定义的一套password服务API。眼下经常使用的password规范或者标准有3套:CSP,PKCS#11和国密标准。前两者主要是为RSA算法提供服务,当然PKCS#11最...
cryptoapi实现数字签名
05-20
CryptoAPI是一组用于加密和解密数据的API,其中包括数字签名的实现。数字签名是一种用于验证数据完整性和身份验证的技术,它使用公钥密码学来验证数字签名的真实性。 要使用CryptoAPI实现数字签名,可以按照以下步骤进行: 1. 创建一个Cryptographic Service Provider(CSP)对象,用于执行加密和解密操作。 2. 创建一个密钥容器,用于存储数字证书。 3. 获取数字证书并将其存储在密钥容器中。 4. 使用密钥容器中的私钥创建数字签名。 5. 验证数字签名的有效性。 以下是一个示例代码,用于使用CryptoAPI实现数字签名: ``` #include <windows.h> #include <wincrypt.h> #define ENCODING (X509_ASN_ENCODING | PKCS_7_ASN_ENCODING) int main() { HCRYPTPROV hProv = 0; HCRYPTKEY hKey = 0; HCRYPTHASH hHash = 0; DWORD dwSigLen = 0; BYTE *pbSig = NULL; // Acquire a cryptographic context. if (!CryptAcquireContext(&hProv, NULL, NULL, PROV_RSA_FULL, 0)) { printf("Error: CryptAcquireContext failed\n"); return 1; } // Create a hash object. if (!CryptCreateHash(hProv, CALG_SHA1, 0, 0, &hHash)) { printf("Error: CryptCreateHash failed\n"); return 1; } // Hash the data. BYTE pbData[] = "Hello, world!"; DWORD dwDataLen = strlen(pbData); if (!CryptHashData(hHash, pbData, dwDataLen, 0)) { printf("Error: CryptHashData failed\n"); return 1; } // Create a signature of the hash. if (!CryptGetUserKey(hProv, AT_SIGNATURE, &hKey)) { printf("Error: CryptGetUserKey failed\n"); return 1; } if (!CryptSignHash(hHash, AT_SIGNATURE, NULL, 0, NULL, &dwSigLen)) { printf("Error: CryptSignHash failed (1)\n"); return 1; } pbSig = (BYTE*)malloc(dwSigLen); if (!CryptSignHash(hHash, AT_SIGNATURE, NULL, 0, pbSig, &dwSigLen)) { printf("Error: CryptSignHash failed (2)\n"); return 1; } // Verify the signature. if (!CryptVerifySignature(hHash, pbSig, dwSigLen, hKey, NULL, 0)) { printf("Error: CryptVerifySignature failed\n"); return 1; } printf("Signature verified successfully.\n"); // Clean up. CryptDestroyHash(hHash); CryptReleaseContext(hProv, 0); return 0; } ``` 此代码使用SHA1算法对数据进行哈希,并使用AT_SIGNATURE标识符获取密钥容器中的私钥来创建数字签名。然后,它验证数字签名的有效性。在实际情况下,您需要从数字证书中获取公钥并使用它来验证数字签名。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值