使用windows crypt API解析X509证书

Posted dozeoo

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了使用windows crypt API解析X509证书相关的知识,希望对你有一定的参考价值。

一、版本号

结构体CERT_INFO中的字段dwVersion即为证书版本,可以直接通过下面的代码获得:

 DWORD dwCertVer = m_pCertContext->pCertInfo->dwVersion;  

版本值的定义如下:

 

#define CERT_V1     0  
#define CERT_V2     1  
#define CERT_V3     2  

也就是说,V1的值为0;V3的值为2,目前绝大多是证书都是V3版本。

 

二、序列号

序列号对应结构体CERT_INFO中的字段SerialNumber,不过该字段为ASN.1编码的大数对象,需要解码才能转化为我们平时看到的十六进制序列号。获取序列号的函数如下:

 

 

ULONG CCSPCertificate::get_SN(LPSTR lptcSN,ULONG *pulLen)
{	
	CHAR scSN[512] = {0};

	if (!m_pCertContext)
	{
		return CERT_ERR_INVILIDCALL;
	}
	if (!pulLen)
	{
		return CERT_ERR_INVALIDPARAM;
	}
	
	PCRYPT_INTEGER_BLOB pSn = &(m_pCertContext->pCertInfo->SerialNumber);
	for (int n = (int)(pSn->cbData - 1); n >= 0; n--)
	{
		CHAR szHex[5] = {0};
		sprintf_s(szHex, "%02X", (pSn->pbData)[n]);
		strcat_s(scSN, 512, szHex);
	}

	if (!lptcSN)
	{
		*pulLen = strlen(scSN) + 1;
		return CERT_ERR_OK;
	}

	if (*pulLen <= strlen(scSN) + 1)
	{
		return CERT_ERR_BUFFER_TOO_SMALL;
	}
	strcpy_s(lptcSN, *pulLen, scSN);
	*pulLen = strlen(scSN);

	return CERT_ERR_OK;
}

  

三、公钥算法(证书算法)

证书中的公钥算法,需要通过CERT_INFO中字段SubjectPublicKeyInfo来获取。具体函数如下:

ULONG CCSPCertificate::get_KeyType(ULONG* pulType)
{	
	if (!m_pCertContext)
	{
		return CERT_ERR_INVILIDCALL;
	}
	if (!pulType)
	{
		return CERT_ERR_INVALIDPARAM;
	}

	PCERT_PUBLIC_KEY_INFO pPubKey = &(m_pCertContext->pCertInfo->SubjectPublicKeyInfo);
	if (pPubKey)
	{
		if (_stricmp(pPubKey->Algorithm.pszObjId, szOID_RSA_RSA) == 0)
		{
			*pulType = CERT_KEY_ALG_RSA;
		}
		else if (_stricmp(pPubKey->Algorithm.pszObjId, szOID_ECC_PUBLIC_KEY) == 0)
		{
			*pulType = CERT_KEY_ALG_ECC;
		}
		else 
		{
			*pulType = 0;
			return CERT_ERR_ALG_UNKNOWN;
		}
	}
	else
	{
		return GetLastError();
	}

	return CERT_ERR_OK;
}

  

四、证书用途

证书从用途来分,分为“签名证书”和“加密证书”两大类。“签名证书”的公钥用来验证签名,而“加密证书”的公钥则用来加密数据。我们需要通过调用函数CertGetIntendedKeyUsage()来获取证书的用途,具体函数实现如下:

 

ULONG CCSPCertificate::get_KeyUsage(ULONG* lpUsage)
{	
	BYTE btUsage[2] = {0};

	if (!m_pCertContext)
	{
		return CERT_ERR_INVILIDCALL;
	}
	if (!lpUsage)
	{
		return CERT_ERR_INVALIDPARAM;
	}

	if (CertGetIntendedKeyUsage(GLOBAL_ENCODING_TYPE, m_pCertContext->pCertInfo, btUsage, 2))
	{
		if (btUsage[0] & CERT_DIGITAL_SIGNATURE_KEY_USAGE)
		{
			*lpUsage = CERT_USAGE_SIGN;
		}
		else if (btUsage[0] & CERT_DATA_ENCIPHERMENT_KEY_USAGE)
		{
			*lpUsage = CERT_USAGE_EXCH;
		}
		else
		{
			*lpUsage = 0;
			return CERT_ERR_USAGE_UNKNOWN;
		}
	}
	else
	{
		return GetLastError();
	}

	return CERT_ERR_OK;
}

  

五、签名算法

证书的签名算法,是指证书用来签名时使用的算法(包含HASH算法)。签名算法用结构体CERT_INFO中SignatureAlgorithm字段来表示,可以通过SignatureAlgorithm的子字段pszObjId返回签名算法的Oid,这样对比Oid就可以知道签名算法的具体含义了。pszObjId常见得定义如下:

 

#define CERT_SIGNATURE_ALG_RSA_RSA	"1.2.840.113549.1.1.1"   //RSA直接签名
#define CERT_SIGNATURE_ALG_MD2RSA	"1.2.840.113549.1.1.2"   //MD2作Hash、然后RSA签名
#define CERT_SIGNATURE_ALG_MD4RSA	"1.2.840.113549.1.1.3"   //MD4作Hash、然后RSA签名
#define CERT_SIGNATURE_ALG_MD5RSA	"1.2.840.113549.1.1.4"   //MD5作Hash、然后RSA签名
#define CERT_SIGNATURE_ALG_SHA1RSA	"1.2.840.113549.1.1.5"   //SHA1作Hash、然后RSA签名
#define CERT_SIGNATURE_ALG_SM3SM2	"1.2.156.10197.1.501"    //SM3作Hash、然后SM2签名

以上为http://blog.csdn.net/yyfzy/article/details/46790043内容

接下来是我的实现截图

技术分享技术分享

 

有需要源码的留下邮箱

以上是关于使用windows crypt API解析X509证书的主要内容,如果未能解决你的问题,请参考以下文章

将Bytes []解析为C#中的X509Certificate

使用 ASP.NET Core 3.0 内置 API 从 .crt 和 .key 文件创建 X509Certificate2

Bouncycastle:X509CertificateHolder 到 X509Certificate?

iOS使用openSSL加密应该怎么做

mbedtls的ssl x509协议API

使用 X509 证书请求