使用CryptoAPI获取证书扩展属性之四:“CRL分发点”和“颁发机构信息访问”

最新推荐文章于 2024-04-12 15:29:53 发布
最新推荐文章于 2024-04-12 15:29:53 发布
阅读量3.5k 收藏 4
点赞数
分类专栏: CSP 文章标签: CryptoAPI CA证书 扩展属性
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yyfzy/article/details/48802613
版权
        上篇文章讲述了如何使用CryptoAPI获取证书的“颁发机构密钥标识”和"使用者密钥标识"扩展属性使用CryptoAPI获取证书扩展属性之三:“颁发机构密钥标识”和"使用者密钥标识"

        今天继续讲述如何获取“CRL分发点”和“颁发机构信息访问”这两个扩展属性。这两个扩展属性在证书中如下图所示:


通过CryptoAPI获取这两个扩展属性,具体步骤如下:
1、调用函数CertFindExtension()找到扩展对象
2、使用函数CryptDecodeObject()解码对象,得到属性结构体。其中“CRL分发点”属性使用结构体 CRL_DIST_POINTS_INFO 表示,具体定义如下:

typedef struct _CRL_DIST_POINTS_INFO {
    DWORD                   cDistPoint;
    PCRL_DIST_POINT         rgDistPoint;
} CRL_DIST_POINTS_INFO, *PCRL_DIST_POINTS_INFO;

cDistPoint:分发点个数

rgDistPoint:具体分发点信息

“颁发机构信息访问”属性使用结构体CERT_AUTHORITY_INFO_ACCESS表示,具体定义如下:

typedef struct _CERT_AUTHORITY_INFO_ACCESS {
    DWORD                       cAccDescr;
    PCERT_ACCESS_DESCRIPTION    rgAccDescr;
} CERT_AUTHORITY_INFO_ACCESS, *PCERT_AUTHORITY_INFO_ACCESS,
  CERT_SUBJECT_INFO_ACCESS, *PCERT_SUBJECT_INFO_ACCESS;
cAccDescr:信息访问个数

rgAccDescr:具体访问信息

3、解析结构体中的值,得到具体含义
       基于以上过程,下面给出获取“CRL分发点”和“颁发机构信息访问”两个扩展属性的完整代码。“CRL分发点”扩展属性的获取代码如下:

ULONG CCSPCertificate::_GetExtCRLDistPoints(PCCERT_CONTEXT pCertContext, LPSTR lpscProperty, ULONG* pulLen)
{
	ULONG ulRes = 0;
	ULONG ulDataLen = 512;
	ULONG ulPropertyLen = 512;
	BYTE btData[512] = {0};
	CHAR csProperty[512] = {0};
	PCERT_EXTENSION pCertExt = NULL;

	if (!pCertContext)
	{
		return CERT_ERR_INVILIDCALL;
	}
	if (!pulLen)
	{
		return CERT_ERR_INVALIDPARAM;
	}
	
	USES_CONVERSION;

	pCertExt = CertFindExtension(szOID_CRL_DIST_POINTS, pCertContext->pCertInfo->cExtension, pCertContext->pCertInfo->rgExtension); 
	if (!pCertExt)
	{
		return CERT_ERR_ATTR_NOTEXIST;
	}
		
	PCRL_DIST_POINTS_INFO pCRLDistPoint = (PCRL_DIST_POINTS_INFO)btData;
	if (CryptDecodeObject(	GLOBAL_ENCODING_TYPE, szOID_CRL_DIST_POINTS, 
							pCertExt->Value.pbData, pCertExt->Value.cbData, 
							CRYPT_DECODE_NOCOPY_FLAG, pCRLDistPoint, &ulDataLen))
	{
		CHAR csTemp[8] = {0};
		sprintf_s(csTemp, "[%d]", pCRLDistPoint->cDistPoint);
		strcat_s(csProperty, 512, csTemp);
		for (ULONG ulIndex = 0; ulIndex < pCRLDistPoint->cDistPoint; ulIndex++)
		{
			for (ULONG ulAltEntry = 0; ulAltEntry < pCRLDistPoint->rgDistPoint[ulIndex].DistPointName.FullName.cAltEntry; ulAltEntry++)
			{
				strcat_s(csProperty, 512, W2A(pCRLDistPoint->rgDistPoint[ulIndex].DistPointName.FullName.rgAltEntry[ulAltEntry].pwszURL));
				strcat_s(csProperty, 512, " ");
			}
		}
	}
	else
	{
		return GetLastError();
	}	
	
	if (!lpscProperty)
	{
		*pulLen = strlen(csProperty) + 1;
	}
	if (*pulLen < (strlen(csProperty) + 1))
	{
		return CERT_ERR_BUFFER_TOO_SMALL;
	}
	strcpy_s(lpscProperty, *pulLen, csProperty);

	return CERT_ERR_OK;
}
颁发机构信息访问 ”的获取代码如下: 
ULONG CCSPCertificate::_GetExtAuthorityInfoAccess(PCCERT_CONTEXT pCertContext,LPSTR lpscProperty, ULONG* pulLen)
{
	ULONG ulRes = 0;
	ULONG ulDataLen = 512;
	ULONG ulPropertyLen = 512;
	BYTE btData[512] = {0};
	CHAR csProperty[512] = {0};
	PCERT_EXTENSION pCertExt = NULL;

	if (!pCertContext)
	{
		return CERT_ERR_INVILIDCALL;
	}
	if (!pulLen)
	{
		return CERT_ERR_INVALIDPARAM;
	}
	
	USES_CONVERSION;

	pCertExt = CertFindExtension(szOID_AUTHORITY_INFO_ACCESS, pCertContext->pCertInfo->cExtension, pCertContext->pCertInfo->rgExtension); 
	if (!pCertExt)
	{
		return CERT_ERR_ATTR_NOTEXIST;
	}

	PCERT_AUTHORITY_INFO_ACCESS pAuthorityInfo = (PCERT_AUTHORITY_INFO_ACCESS)btData;
	if (CryptDecodeObject(	GLOBAL_ENCODING_TYPE, szOID_AUTHORITY_INFO_ACCESS, 
							pCertExt->Value.pbData, pCertExt->Value.cbData, 
							CRYPT_DECODE_NOCOPY_FLAG, pAuthorityInfo, &ulDataLen))
	{
		CHAR csTemp[256] = {0};
		sprintf_s(csTemp, 256, "[%d]Authority Info Access: \r\n", pAuthorityInfo->cAccDescr);
		strcat_s(csProperty, 512, csTemp);
		for (ULONG ulIndex = 0; ulIndex < pAuthorityInfo->cAccDescr; ulIndex++)
		{
			sprintf_s(csTemp, 256, "Access Method=证书颁发机构颁发者 (%s), \r\n", pAuthorityInfo->rgAccDescr[ulIndex].pszAccessMethod);
			strcat_s(csProperty, 512, csTemp);
			//
			strcat_s(csProperty, 512, W2A(pAuthorityInfo->rgAccDescr[ulIndex].AccessLocation.pwszURL));
		}
	}
	else
	{
		return GetLastError();
	}

	if (!lpscProperty)
	{
		*pulLen = strlen(csProperty) + 1;
	}
	if (*pulLen < (strlen(csProperty) + 1))
	{
		return CERT_ERR_BUFFER_TOO_SMALL;
	}
	strcpy_s(lpscProperty, *pulLen, csProperty);

	return CERT_ERR_OK;
}


yyfzy
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过 crl分发 获取crl文件_什么是证书吊销列表(CRL)?吊销列表起什么作用?...
weixin_39934302的博客
12-05 1786
证书吊销列表 (Certificate Revocation List ,简称:CRL) 是 PKI 系统中的一个结构化数据文件,该文件包含了证书颁发机构 (CA) 已经吊销的证书的序列号及其吊销日期。CRL 文件中还包含证书颁发机构信息、吊销列表失效时间和下一次更新时间,以及采用的签名算法等。证书吊销列表最短的有效期为一个小时,一般为 1 天,甚至一个月不等,由各个证书颁发机构在设置其证书颁发系...
revoker:CRL分发和OCSP响应程序的Java实现
04-30
介绍 该存储库包含Java 8的证书吊销列表(CRL分发和在线证书状态协议(OCSP)响应程序的实现。 概述 此应用程序是Dropwizard应用程序,可以响应给定CACRL请求和OCSP请求。 您需要为应用程序提供对CA索引文件的访问权限,该索引文件实际上是CA的数据库,crl文件以及一个Java密钥库,其中包含用于签名OCSP响应的密钥和证书链。 这些都在conf.yml文件中完成。 运行应用程序 要测试该应用程序,请运行以下命令。 要打包应用程序,请运行: mvn package 要运行服务器,请运行: java -jar target/revoker-0.1.0.jar server conf.yml 要使用管理员操作菜单,请浏览器浏览至: http://localhost:8081 您可以使用以下openssl命令来测试OCSP是否正常工作 openssl ocsp
数字证书的相关专业名词(中)---根证书CRL,以及java中CRL获取和验证方法
qq_44005305的博客
04-11 810
上篇文章我们主要了解了PKI中的数字证书和PKCS,这篇文章我们主要了解一下根证书,以及OCSP和CRL。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)
使用CryptoAPI解析X509证书和P12证书
jun2ran的专栏
04-28 3900
CryptoAPI解析X509格式的证书 c语言版本
xinshuai111的博客
04-06 1401
部分的CryptoAPI函数在VC++6.0上并没有定义,如CertGetNameString函数为CryptoAPI的管理函数,但是在VC++6.0下编译会报错,查看相应的wincrypt.h文件时会发现里边没有声明该函数。可以直接在vs2008下编译即可。 以下代码在vs2008下编译: //#ifndef _WIN32_WINNT //#define _WIN32_WINNT...
通过OpenSSL获取证书扩展属性之一:“基本约束”
密码开发者
08-24 7785
介绍如何使用OpenSSL获取证书的“基本约束”扩展属性
使用OpenSSL创建包含自签名、本地测试分发CRL的CMS signedData(M3 Mac)
最新发布
Jasmine_xyy的博客
04-12 689
openssl x509和openssl ca都可以颁发证书,但是需要在证书扩展字段添加crl颁发,就需要使用openssl ca。openssl不支持使用命令行创建包含crl的cms,需要自己编写代码来调用openssl的API来创建。注:-lssl -lcrypto是必须的,-L后面和-I后面换成自己之前which openssl的路径。所以自己生成目录和目录下的文件,会在撤销时找./demoCA/private/cakey.pem。配置CRL服务器:在准备放crl.pem的位置终端。
Delphi使用CryptoAPI生成证书及PHP(openssl)端签名验签
12-21
在本例中,Delphi使用CryptoAPI生成的自签名证书,包含了私钥和公钥对,以及证书持有者的身份信息。 2. **CryptoAPI**:这是Windows操作系统提供的一个API,用于处理加密和解密操作,包括生成密钥对、数字签名和...
CryptoAPI ukey获取证书以及签名流程
08-28
本文整理了如何使用CryptoAPI 操作ukey进行数字签名。附上流程和部分代码,讲解cryptoapi实际应用以及应用中关键问题的解决方法,在这里,仅介绍数字签名(加密流程类似,但是,操作略有不同,所需要的函数也不同),...
keystore-idb:使用IndexedDB和Web Crypto API的浏览器内密钥管理
05-14
使用IndexedDB和Web加密API的浏览器内密钥管理。 安全地存储和使用密钥进行加密,解密和签名。 IndexedDB和Web Crypto可以保护密钥免受恶意javascript的侵害。 支持RSA(RSASSA-PKCS1-v1_5和RSA-OAEP)和椭圆曲线...
crypto_cryptoapi.rar_CRYPTO_Crypto++_cryptoAPI
09-14
1. **接口适配**:将Crypto++的类和方法转换成与CryptoAPI兼容的函数调用,使得在使用Crypto++的同时,可以利用CryptoAPI的特定功能,如系统注册表存储的证书和密钥。 2. **性能优化**:某些情况下,CryptoAPI可能...
Microsoft CryptoAPI加密技术 源代码.zip
03-28
这个压缩包包含了与CryptoAPI相关的源代码,可以帮助我们深入理解其工作原理和使用方法。 1. **加密例程.cpp**: 这个源文件可能包含用于执行加密操作的函数和类。CryptoAPI支持多种加密算法,如RSA、DES、3DES、...
openssl 颁发中文机构证书
zx1323的博客
03-21 546
百度上,goole上找了很多网页,创建的机构始终有乱码甚至升级了openssl,没效果写了两个shell脚本  一个是生成 根证书:正常一个是给客户颁发证书:输入中文参数 乱码后面越想越不对,突然想起,两个文件的编码格式是不是不同进入文件vi  文件名.sh查看文件编码    set fileencdiong可以看到文件格式的不同root_ca.sh   utf8client_ca.sh ansi...
CRL
mengshi12的专栏
08-26 576
crl
java证书已撤销_如何检查X509证书是否已被Java吊销?
weixin_36258720的博客
02-16 1084
小编典典每个CA都会发布已撤销的证书列表。此列表包括证书的序列号和吊销日期要获取证书吊销列表(CRL)的URL,请执行以下步骤打开证书转到“详细信息”选项卡,然后在详细信息列表中找到“ CRL分发”字段它将向您显示诸如此类的价值[1] CRL分发分发名称:全名:URL = mscrl.microsoft.com / pki / mscorp / crl /msitwww2.crl URL =...
CRL和OSCP、LDAP
lingdukafeibj的博客
04-27 2758
签名验签服务器规范明确写出签名验签服务器应支持与CA基础设施的连接功能,包括CRL连接配置、OSCP连接配置。看完后一头雾水,首先需要了解什么是CRL 1、证书吊销列表(Certificate Revocation List,简称:CRL) 是PKI系统系统中的一个结构化的数据文件,该文件包含了证书颁发机构CA)已经吊销的证书的序列号及其吊销日期。CRL文件中还包含证书颁发机构信息、吊销列表失效时间和下一次更新时间、以及采用的签名算法等。证书吊销列表最短的有效期为1个小时,一般为1天,甚至1个月不等,
CRL问题与OCSP
大力海棠的博客
02-17 5096
证书扩展CRL分发可以看到,CRL证书吊销列表,是服务器身份验证的一部分,验证证书除了校验签名值外,还要校验证书的吊销状态,如果一张证书已过期,或者被吊销,那么身份校验失败。要注意的是,证书过期并不代表其被吊销,证书过期了便无效,如果证书没有过期,但因为某种原因被吊销了,也一样无效。我们知道,浏览器校验证书吊销状态时,会通过CRL分发找到CRLs文件的URL,然后去下载CRLs文件,从中...
证书吊销列表 (CRL),并在 IIS 5.0 经常要求的问题
cp62的专栏
01-12 3351
Q 1: 什么是证书吊销列表 (CRL),以及 CRL 分发 (CDP)? A 1: A CRL 是包含已吊销的证书、 它们的序列号和其吊销日期列表的文件。... loadTOCNode(1, moreinformation); Q 1: 什么是证书吊销列表 (CRL),以及 CRL 分发 (CDP)? A 1: A CR
html 使用 crypto api,Web Crypto API
06-13
通过使用Web Crypto API,开发者可以在浏览器中执行各种加密操作,而无需依赖第三方软件或插件。同时,Web Crypto API还提供了一些辅助接口,如生成随机数、计算哈希值等等,这些接口也可以用于构建安全的Web应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值