使用CryptoAPI获取证书扩展属性之一:“基本约束”

最新推荐文章于 2021-09-03 15:07:35 发布
最新推荐文章于 2021-09-03 15:07:35 发布
阅读量4.3k 收藏 5
点赞数
分类专栏: CSP 文章标签: CA证书 扩展项 CSP 基本约束
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yyfzy/article/details/47952227
版权

        前面通过一系列文章,讲述了如使用CryptoAPI解析证书的基本项,现在我们来看看如何获取证书的扩展项。

        目前CA中心颁发的证书,都有一些扩展项属性,用来限定证书的用途、提供颁发者信息、以及CRL的下载地址等等。在下图中,红色区域内的属性都为证书的扩展属性。


        在CryptoAPI中,提供了获取这些扩展属性的方法。今天,我们先看看如何获取证书扩展属性中的“基本约束”属性。具体可以通过以下步骤来实现:

1、调用函数CertFindExtension()找到扩展对象

该函数的定义如下:

PCERT_EXTENSION WINAPI CertFindExtension(
  _In_ LPCSTR         pszObjId,
  _In_ DWORD          cExtensions,
  _In_ CERT_EXTENSION rgExtensions[]
);

其中:

第一个参数pszObjId为对象的ID,要获取“基本约束”扩展对象需要指定为szOID_BASIC_CONSTRAINTS2;

第二个参数是指扩展属性数组的成员个数,由证书信息结构体中的cExtension成员指定;

第三个参数为扩展属性数组,由证书信息结构体中的rgExtension成员指定。

2、使用函数CryptDecodeObject()解码对象,得到属性结构体

在CryptoAPI中,微软为“基本约束”扩展属性定义了结构体,具体如下:

typedef struct _CERT_BASIC_CONSTRAINTS2_INFO {
    BOOL                    fCA;
    BOOL                    fPathLenConstraint;
    DWORD                   dwPathLenConstraint;
} CERT_BASIC_CONSTRAINTS2_INFO, *PCERT_BASIC_CONSTRAINTS2_INFO;

其中:

第一个成员fCA,表明该证书可否作为CA证书签发下一级证书。一般用户证书该值都为FALSE;

第二个成员fPathLenConstraint,表明当作CA证书时,是否有级别限制;

第三个成员dwPathLenConstraint,只有到fPathLenConstraint为TRUE时有效,表明具体可以签发的证书级别。

3、解析结构体中的值

如果我们得到了上面结构体的具体值,就可以根据值来显示“基本约束”的属性了。

        完整的解析“基本约束”属性的函数代码如下:

ULONG CCSPCertificate::_GetExtBasicConstraints(PCCERT_CONTEXT pCertContext, 
											   LPSTR lpscProperty, 
											   ULONG* pulLen)
{
	ULONG ulRes = 0;
	ULONG ulDataLen = 512;
	ULONG ulPropertyLen = 512;
	BYTE btData[512] = {0};
	CHAR csProperty[512] = {0};
	PCERT_EXTENSION pCertExt = NULL;

	if (!pCertContext)
	{
		return CERT_ERR_INVILIDCALL;
	}
	if (!pulLen)
	{
		return CERT_ERR_INVALIDPARAM;
	}
	
	pCertExt = CertFindExtension(szOID_BASIC_CONSTRAINTS2, pCertContext->pCertInfo->cExtension, pCertContext->pCertInfo->rgExtension); 
	if (pCertExt)
	{
		PCERT_BASIC_CONSTRAINTS2_INFO pInfo = (PCERT_BASIC_CONSTRAINTS2_INFO)btData;
		if (CryptDecodeObject(	GLOBAL_ENCODING_TYPE, szOID_BASIC_CONSTRAINTS2, 
								pCertExt->Value.pbData, pCertExt->Value.cbData, 
								CRYPT_DECODE_NOCOPY_FLAG, pInfo, &ulDataLen))
		{
			if (pInfo->fCA) 
			{
				strcat_s(csProperty, 512, "Subject Type=CA; ");
			}
			else 
			{
				strcat_s(csProperty, 512, "Subject Type=End Entity; ");
			}
			if (pInfo->fPathLenConstraint) 
			{
				CHAR csTemp[128] = {0};
				sprintf_s(csTemp, 128, "Path Length Constraint=%d", pInfo->dwPathLenConstraint);
				strcat_s(csProperty, 512, csTemp);
			}
			else
			{
				strcat_s(csProperty, 512, "Path Length Constraint=None");
			}
		}
		else
		{
			return GetLastError();
		}		
	}
	else
	{
		pCertExt = CertFindExtension(szOID_BASIC_CONSTRAINTS, pCertContext->pCertInfo->cExtension, pCertContext->pCertInfo->rgExtension); 		
		if (pCertExt)
		{
			PCERT_BASIC_CONSTRAINTS_INFO pInfo = (PCERT_BASIC_CONSTRAINTS_INFO)btData;
			if (CryptDecodeObject(	GLOBAL_ENCODING_TYPE, szOID_BASIC_CONSTRAINTS, 
									pCertExt->Value.pbData, pCertExt->Value.cbData, 
									CRYPT_DECODE_NOCOPY_FLAG, pInfo, &ulDataLen))
			{
				if (pInfo->SubjectType.pbData[0] & CERT_CA_SUBJECT_FLAG) 
				{
					strcat_s(csProperty, 512, "Subject Type=CA; ");
				}
				else if (pInfo->SubjectType.pbData[0] & CERT_END_ENTITY_SUBJECT_FLAG) 
				{
					strcat_s(csProperty, 512, "Subject Type=End Entity; ");
				}
				else
				{
					strcat_s(csProperty, 512, "Subject Type=Unknown; ");
				}
				if (pInfo->fPathLenConstraint) 
				{
					CHAR csTemp[128] = {0};
					sprintf_s(csTemp, 128, "Path Length Constraint=%d", pInfo->dwPathLenConstraint);
					strcat_s(csProperty, 512, csTemp);
				}
				else
				{
					strcat_s(csProperty, 512, "Path Length Constraint=None");
				}
			}
			else
			{
				return GetLastError();
			}	
		}
		else
		{
			return CERT_ERR_ATTR_NOTEXIST;
		}	
	}

	if (!lpscProperty)
	{
		*pulLen = strlen(csProperty) + 1;
	}
	if (*pulLen < (strlen(csProperty) + 1))
	{
		return CERT_ERR_BUFFER_TOO_SMALL;
	}
	strcpy_s(lpscProperty, *pulLen, csProperty);

	return CERT_ERR_OK;
}


yyfzy
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过OpenSSL获取证书扩展属性之一:“基本约束
密码开发者
08-24 7793
介绍如何使用OpenSSL获取证书的“基本约束扩展属性
X.509 数字证书中的扩展 subjectAltName
sky527759的博客
04-10 971
介绍一下 X.509 数字证书中的扩展 subjectAltName
使用CryptoAPI获取证书扩展属性之四:“CRL分发点”和“颁发机构信息访问”
密码开发者
09-29 3510
介绍如何使用CryptoAPI解析CA证书获取“CRL 分发点”和“颁发机构信息访问”扩展属性
TLS/SSL 协议详解(6) SSL 数字证书的一些细节1 证书验证
Network/Storage/Linux Kernel
09-06 6121
证书关系到了SSL的众多安全性,比如身份认证,密钥交换。所以有必要单拉出一章来讲证书。本章完善一下前几节中的身份认证的一些缺点。 首先,通过前面讲解,我们知道,证书需要几个重要的字段。例如“拥有者”、“颁发者”、“截止日期”。另外,生成证书的时候会自动生成一份“公钥”以及对应的“私钥”。现在假设我开了一个网站,准备用SSL加密的,需要让全世界信任我这个网站,那么我就需要一个证书,这时候...
srca证书的安装及srca证书中的主要字段及其内容
chenfang0529的博客
05-12 4028
信息安全技术的作业:登录12306网站,下载并安装12306的srca证书,查看该证书内容,结合教材14.4小节X.509证书中的证书格式,描述下载的srca证书中的主要字段及其内容。srca证书的安装及srca证书中的主要字段及其内容一、下载12306的srca证书并安装。1.下载安装包解压2.选择安装证书3.成功安装4.双击srca.cer,证书成功安装。二、srca证书中的主要字段及其内容。...
openssl对SSL证书及密钥操作说明
adrninistrat0r的博客
03-01 4805
1. 使用OpenSSL自建CA OpenSSL是一个免费的、开源的加密库,用于处理数字证书,提供了一些命令行工具。部分工具可以提供证书颁发机构的相关功能。 使用OpenSSL可以自建测试CA,OpenSSL的使用文档为 https://www.openssl.org/docs/manmaster/man1/ 。 使用OpenSSL自建CA可参考 https://www.madboa.com/ge...
Delphi使用CryptoAPI生成证书及PHP(openssl)端签名验签
12-21
- **CryptoApiDemo.zip**:可能是一个包含Delphi目的压缩包,用于演示如何使用CryptoAPI生成证书和进行验签。 在Delphi端,开发者会调用CryptoAPI函数来生成自签名证书,如`CryptAcquireContext`、`CryptGenKey`...
CryptoAPI ukey获取证书以及签名流程
08-28
本文整理了如何使用CryptoAPI 操作ukey进行数字签名。附上流程和部分代码,讲解cryptoapi实际应用以及应用中关键问题的解决方法,在这里,仅介绍数字签名(加密流程类似,但是,操作略有不同,所需要的函数也不同),...
crypto_cryptoapi.rar_CRYPTO_Crypto++_cryptoAPI
09-14
1. **接口适配**:将Crypto++的类和方法转换成与CryptoAPI兼容的函数调用,使得在使用Crypto++的同时,可以利用CryptoAPI的特定功能,如系统注册表存储的证书和密钥。 2. **性能优化**:某些情况下,CryptoAPI可能...
Microsoft CryptoAPI加密技术 源代码.zip
03-28
Microsoft CryptoAPI(加密应用程序接口)是Windows操作系统内核的一部分,它为开发者提供了一种标准的方式来实现各种加密和安全相关的操作。这个压缩包包含了与CryptoAPI相关的源代码,可以帮助我们深入理解其工作...
一个简单的MFC类,用于使用Crypto API加密数据
04-11
使用Crypto API时,开发者需要先初始化一个HCRYPTPROV句柄,这是与Crypto服务提供者交互的句柄。这通常通过调用`CryptAcquireContext`函数完成,指定服务提供者、存储位置和其他参数。接下来,为了加密数据,开发者...
https、ssl证书基本信息、证书
taejaysc的博客
09-03 1595
https、ssl证书基本信息、证书证书版本概要证书的工作原理证书验证级别证书结构证书字段证书扩展字段证书种类CA证书中间证书服务器证书证书证书版本概要 ​ X.509被广泛使用的数字证书标准,是由国际电联电信委员会(ITU-T)为单点登录(SSO-Single Sing-on)和授权管理基础设施(PMI-Privilege Management Infrastructure)制定的PKI标准。X.509定义了(但不仅限于)公钥证书证书吊销清单、属性证书证书路径验证算法等证书标准。 ​ X.509
SSL证书详细介绍
迷思
02-18 5218
SSL证书详细介绍 背景介绍 每个人都有自己的身份证,身份证都是由警局进行办理,有身份证可以证明你是合法公民,没有身份证说明这个人很可能有问题。 回到正题,今天介绍的是SSL证书,那么SSL证书实际上充当上述的身份证,是一种类似于驾驶证、身份证的电子副本,不同的是,SSL证书配置在服务器上,是服务器的身份证,它是由一些合法权威的CA机构进行颁发,CA机构就类似于上述的警局,那么警局是否一定权威或者...
通过OpenSSL获取证书扩展属性之二:“密钥用法”和"增强型密钥用法"
密码开发者
09-10 1万+
介绍如何使用Openssl解析CA证书获取“密钥用法”和“增强型密钥用法”扩展属性
openSSL解析证书及建立安全通道通信实验
菜鸡的啄米园
10-21 1527
写在前面 实验一可根据输入证书路径做解析 实验二需要配套证书,文件夹结构如下 certs │ ├─caca.crt │ ca.csr │ ca.key │ ├─client │ client.crt │ client.csr │ client.key │ ...
CSP开发基础--数字证书调用CSP过程
热门推荐
liuhuiyi的专栏
07-24 1万+
加密服务提供程序 (CSP) 是执行身份验证、编码和加密服务的程序,基于 Windows 的应用程序通过 Microsoft 加密应用程序编程接口 (CryptoAPI) 访问该程序。每个 CSP 提供不同的 CryptoAPI 实现。某些提供更强大的加密算法,而另外一些则使用硬件组件(如USBkey)。密钥对的产生是证书申请过程中重要的一步,其中产生的私钥由用户保留,公钥和其他信息则交于CA中心
CSP使用CryptoAPI解码X509证书内容
密码开发者
06-29 5059
通过CryptoAPI解码X509证书文件,包括*.cer/*.p7b/*.pfx格式文件。
CSP使用CryptoAPI解析X509证书基本
密码开发者
07-07 8245
使用CryptoAPI解码X509证书基本,比如版本、序列号、公钥算法、证书用途、颁发者、使用者、有效期等。
CryptoAPI:用数字证书加密数据
亚特兰蒂斯
02-13 1630
/////////////////////////////////////////////////////////////////////头文件:EncryptByCert.h//////////////////////////////////////////////////////////////////// #pragma once // test1.cpp : 定义控制台应用程序的入
html 使用 crypto api,Web Crypto API
最新发布
06-13
Web Crypto API是HTML5中新增的一API,用于提供加密和解密功能的支持。它提供了一套接口,用于执行各种加密操作,包括生成密钥、加密数据、解密数据等等。这些操作都是基于一些标准算法来实现的,如AES、RSA、HMAC等。通过使用Web Crypto API,开发者可以在浏览器中执行各种加密操作,而无需依赖第三方软件或插件。同时,Web Crypto API还提供了一些辅助接口,如生成随机数、计算哈希值等等,这些接口也可以用于构建安全的Web应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值