CSP:使用CryptoAPI解碼X509證書內容

原創 yyfzy 2020-07-04 09:27

        微軟的CryptoAPI提供了一套解碼X509證書的函數,一個X509證書解碼之後,得到一個PCCERT_CONTEXT類型的結構體指針。通過該結構體,我們就可以獲取想要的證書項和屬性等。

        X509證書文件,根據封裝的不同,主要有以下三種類型:

*.cer:單個X509證書文件,不私鑰,可以是二進制和Base64格式。該類型的證書最常見;

*.p7b:PKCS#7格式的證書鏈文件,包含一個或多個X509證書,不含私鑰。通常從CA中心申請RSA證書時,返回的簽名證書就是p7b格式的證書文件;

*.pfx:PKCS#12格式的證書文件,可以包含一個或者多個X509證書,含有私鑰,一般有密碼保護。通常從CA中心申請RSA證書時,加密證書和RSA加密私鑰就是一個pfx格式的文件返回。

        下面,針對這三種類型的證書文件,使用CryptoAPI進行解碼,得到對應的PCCERT_CONTEXT結構體指針。需要注意的是,示例代碼中的證書文件內容都是指二進制數據,如果證書文件本身使用的Base64格式,從文件讀取之後,需要將Base64格式的內容轉化爲二進制數據,才能使用下面的解碼函數。

一、解碼CER證書文件

CER格式的文件最簡單,只需要調用API CertCreateCertificateContext()即可。示例代碼如下(lpCertData爲二進制數據):

ULONG CCSPCertificate::_DecodeX509Cert(LPBYTE lpCertData, ULONG ulDataLen)
{	
	if (!lpCertData || ulDataLen == 0)
	{
		return CERT_ERR_INVALIDPARAM;
	}
		
	m_pCertContext = CertCreateCertificateContext(GLOBAL_ENCODING_TYPE, lpCertData, ulDataLen);
	if (!m_pCertContext)
	{
		return GetLastError();
	}
			
	return CERT_ERR_OK;
}

二、解碼P7B證書文件

由於P7B是個證書鏈文件,理論上可以包含多個X509證書。但是實際應用中,往往只包含一個文件,所以我們只處理第一個證書。示例代碼如下:

ULONG CCSPCertificate::_DecodeP7bCert(LPBYTE lpCertData, ULONG ulDataLen)
{
	ULONG ulRes = CERT_ERR_OK;
	ULONG ulFlag = CRYPT_FIRST;
	ULONG ulContainerNameLen = 512;
	CHAR csContainerName[512] = {0};
	BOOL bFoundContainer = FALSE;
	
	if (!lpCertData || ulDataLen == 0)
	{
		return CERT_ERR_INVALIDPARAM;
	}
	
	// 由證書鏈創建一個證書庫
	HCERTSTORE hCertStore = NULL;
	CRYPT_DATA_BLOB dataBlob = {ulDataLen, lpCertData};
	hCertStore = CertOpenStore(CERT_STORE_PROV_PKCS7, GLOBAL_ENCODING_TYPE, NULL, 0, &dataBlob);
	if (NULL == hCertStore)
	{
		ulRes = GetLastError();
		return ulRes;
	}
	
	// 釋放之前的證書內容
	if (m_pCertContext)
	{
		CertFreeCertificateContext(m_pCertContext);
		m_pCertContext = NULL;
	}

	// 得到第一個證書內容
	m_pCertContext = CertEnumCertificatesInStore(hCertStore, m_pCertContext);
	if (NULL == m_pCertContext)
	{
		ulRes = GetLastError();
		goto CLOSE_STORE;
	}			
	
	// 關閉證書庫
CLOSE_STORE:
	if (hCertStore)
	{
		CertCloseStore(hCertStore, 0);
		hCertStore = NULL;
	}

	return ulRes;
}
如在特殊的情況下,需要處理整個證書鏈中的所有證書,則只需要循環調用CertEnumCertificatesInStore()知道返回爲NULL爲止。

三、解碼PFX證書文件

解碼PFX證書時,和處理P7B很相似,只是多了密碼檢驗。示例代碼如下:

ULONG CCSPCertificate::_DecodePfxCert(LPBYTE lpCertData, ULONG ulDataLen, LPSTR lpscPassword)
{
	ULONG ulRes = 0;
	HCERTSTORE hCertStore = NULL;
	PCCERT_CONTEXT  pCertContext = NULL;  
	
	USES_CONVERSION;

	if (!lpCertData || ulDataLen == 0)
	{
		return CERT_ERR_INVALIDPARAM;
	}
		
	// 創建證書庫
	CRYPT_DATA_BLOB dataBlob = {ulDataLen, lpCertData};
	hCertStore = PFXImportCertStore(&dataBlob, lpscPassword ? A2W(lpscPassword) : NULL, CRYPT_EXPORTABLE);
	if (NULL == hCertStore)
	{
		hCertStore = PFXImportCertStore(&dataBlob, L"", CRYPT_EXPORTABLE);
	}
	if (NULL == hCertStore)
	{
		ulRes = GetLastError();
		return ulRes;
	}
		
	// 枚舉證書,只處理第一個證書
	while(pCertContext = CertEnumCertificatesInStore(hCertStore, pCertContext))
	{		
		if (pCertContext->pbCertEncoded && pCertContext->cbCertEncoded > 0)
		{
			m_pCertContext = CertDuplicateCertificateContext(pCertContext);
			break;
		}
	}
	
	// 關閉證書庫
	CertCloseStore(hCertStore, 0);
	hCertStore = NULL;

	return ulRes;
}

至此,三種常見證書文件的解碼以完成,通過解碼得到的證書上下文結構體指針m_pCertContext 就可以解析證書的項和擴展屬性了。具體的解析方法,將在後續的Blog中逐一介紹。

相關博文:CSP:使用CryptoAPI解析X509證書基本項

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

CSP考試 2016年4月第1題 折點計數 C語言實現

 題目分析: 該題是對一串數進行分析,找出其中導致數據大小趨勢變化的數,所以可以分爲鏈中情況,一種就是數據呈增大趨勢,但是有一個數減小而導致了數據變化趨勢變爲減小;一種就是數據呈減小趨勢但是有一個數增大而導致了數據變化趨勢變爲增大。所以

钛白先生 2020-07-01 19:38:53

CSP考試 2014年03月第1題 相反數 C語言實現

 題目分析: 由於題目要求輸入的非零整數各不相同,並且每個整數的絕對值不超過1000,所以可以設置一個大小爲1000的數組,逐個掃描待輸入的整數,如果是大於零的正數,則直接按照數組的位序進行統計,即使用++操作;如果是負數,則將其值取反

钛白先生 2020-07-01 19:38:53

CSP考試 2015年12月第1題 數位之和 C語言實現

 題目分析: 該題是對輸入的一個大數的各位數之和求和,簡單來看可以將該數取餘後進行分離各位數的操作,就可以到達題目要求。並且該題目表示輸入的最大數不超過1000000000,而int型的數據範圍爲-2147483648到21474836

钛白先生 2020-07-01 19:38:53

CSP考試 2015年3月第1題 圖像旋轉 C語言實現

題目分析: 該題是對一個輸入的矩陣逆時針旋轉之後求得到的矩陣,對於矩陣想到可以使用二維數組,但是這裏的題目要求則不能使用數組天然的位序,(關於數組天然位序的應用,可以查看我的博客:https://blog.csdn.net/AIMINd

钛白先生 2020-07-01 19:38:53

CSP介紹、以及使用CryptoAPI枚舉CSP並獲取其屬性

CSP,全名爲“加密服務提供者(Cryptographic Service Provider)”,是微軟定義的一套密碼服務API。目前常用的密碼規範或者標準有3套:CSP,PKCS#11和國密標準。前兩者主要是爲RSA算法提供服務,當然P

yyfzy 2020-07-04 09:27:21

CSP考試 2013年3月第2題 ISBN號碼 C語言實現

 題目分析: 該題是對一串字符進行處理,主要是區分數字型字符與非數字型字符,所以只要通過標準輸入將字符轉化爲整型再繼續運算就可以得到。 C語言源程序: #include<stdio.h> #include<stdlib.h> #def

钛白先生 2020-07-01 19:38:53

CSP考試 2017年9月第1題 打醬油 C語言實現

題目分析: 該題與以往的CSP考試的第一題類型都不同,以往的第一題不是對相鄰數進行操作,就是通過利用數組來的位序來操作數,而這次的題目需要通過一點算法來進行數學運算,本題很容易看出來,只要買醬油的錢能成爲30的倍數,就能買到4瓶醬油,而

钛白先生 2020-07-01 19:38:53

CSP考試 2015年9月第1題 數列分段 C語言實現

題目分析: 該題是對給定輸入的一組數進行分組,與就是比較當前相鄰兩個數是否相同,如果相同則算在一組數中,如果不相同則把它分在兩個數列中,並且增加統計數列分組值增加1.關鍵就在於比較當前數與下一個數是否相同,可是使用數組把全部數輸入到數組

钛白先生 2020-07-01 19:38:53

CSP考試 2018年12月第1題 小明上學 C語言實現

題目分析: 該題是根據交通規則中的紅綠燈變化來統計時間的,值得注意的是紅黃綠三種顏色的燈的變化是 循環的,這就造成如果是黃燈正好亮了,那麼接着亮起的紅燈還要接着等待。該題相比較與前面的CSP考試的第一題,風格有了很大不同,它設置爲實際場

钛白先生 2020-07-01 19:38:53

CSP考試 2019年3月第1題 小中大 C語言實現

題目分析: 該題是對一串有序數進行操作,即找出其中的最大數與最小數以及中位數,由於我在審題時沒有注意到它給定的就是有序數,導致白白花費了 許多時間去使得數有序。所以審題一定要仔細,難度不算太大,和我之前預想的一樣,題目的長度會變得越來越

钛白先生 2020-07-01 19:38:53

CSP考試 2017年12月第1題 最小差值 C語言實現

 題目分析: 該題是在給定輸入的一串數中找出差值最小的值,該題相比較前幾年的CSP第一題就難度稍稍增大,除了應用數組的位序來簡化對數據排序的過程外,還得需要對數組中的值也要進行考慮,也就是說這包含了兩方面的內容,對於數組天然位序的應用,

钛白先生 2020-07-01 19:38:53

CSP考試 2018年3月第1題 跳一跳 C語言實現

題目分析: 該題是對跳一跳機制的得分情況分析,每次一跳很顯然給出了三種不同的結果 ,只有跳到中心時考慮的情況複雜一些也就是有累加的效果,所以只需要設置一個累加開關就可以。 C語言源程序: #include<stdio.h> int m

钛白先生 2020-07-01 19:38:53

CSP考試 2016年9月第1題 最大波動 C語言實現

 題目分析: 該題是求一組給定輸入的數中相鄰數的絕對值最大,主要還是考察對相鄰數的操作,和前幾年的題目沒有什麼大的區別,關於相鄰數的分析可以查看博客:https://blog.csdn.net/AIMINdeCSDN/article/d

钛白先生 2020-07-01 19:38:53

CSP考試 2017年3月第1題 分蛋糕 C語言實現

題目分析: 該題是對輸入的一串數進行相鄰數的分析,和之前我寫的博客類似的處理算法:https://blog.csdn.net/AIMINdeCSDN/article/details/103370797。唯一值得注意的就是在最後一個人得到

钛白先生 2020-07-01 19:38:53

CSP考試 2018年9月第1題 賣菜 C語言實現

題目分析: 該題是對一串給定輸入的數對其相鄰數進行分析,難度相比於前一次的CSP第一題應該來說有所降低,只是考察相鄰數的處理這一個概念,所以可以設置一個數組讀入給定輸入的 數,然後對第一個與最後一個數的相鄰數作爲2,其他都是3,並且由於

钛白先生 2020-07-01 19:38:53