现在的位置: 首页 > 综合 > 正文

WinCE Security — X509证书及私钥的导入

2012年04月01日 ⁄ 综合 ⁄ 共 7026字 ⁄ 字号 评论关闭

作者:ARM-WinCE

 

 

WinCE下如果想导入X509证书及私钥,需要用到微软的CryptoAPI函数集,这是微软提供的专门用来支持PKI相关功能的模块。相信有些人知道在Linux下用的是Openssl,我会在后面介绍基于WinCELinux不同的平台,如何彼此进行证书验证以及加解密。今天这里先介绍一下证书和私钥的导入。

 

 

WinCE支持CryptoAPI函数,但是和Windows环境相比还是有些区别,主要是对一些Hash算法,加解密算法支持的不是很好。在WinCE下调用CryptoAPI函数实现的功能在Windows环境下运行没什么问题,但是反之,就不一定了。

 

下面先介绍一下证书及私钥导入的相关函数:

1. HCERTSTORE WINAPI CertOpenStore(LPCSTR lpszStoreProvider, DWORD dwMsgAndCertEncodingType, HCRYPTPROV hCryptProv,  DWORD dwFlags, const void* pvPara)

该函数用于打开一个证书库。

lpszStoreProvider: 证书库提供者,可以是一个文件,也可以来自一个注册表中的键值,或者是系统证书库等。

dwMsgAndCertEncodingType: 没有被使用,设置为0

hCryptProv: 密钥提供者,一般设置为NULL表示使用默认的提供者

dwFlags: 打开证书库的标记位,描述如何打开一个证书库

pvPara: 依赖于第一个参数证书提供者,说明具体的证书提供者

该函数如果调用成功,将会返回打开证书库的句柄。

 

2. BOOL WINAPI CertCloseStore(HCERTSTORE hCertStore, DWORD dwFlags)

该函数用于关闭一个证书库。

hCertStore: 要关闭的证书库的句柄

dwFlags: 标记位,表示如何关闭证书库

该函数调用成功,将返回TRUE

 

3. PCCERT_CONTEXT WINAPI CertEnumCertificatesInStore(HCERTSTORE hCertStore, PCCERT_CONTEXT pPrevCertContext)

该函数用于枚举证书库中的X509证书,该函数可以在循环中反复被调用从而枚举每一个X509证书。

hCertStore: 已打开证书库的句柄

pPrevCertContext: 指向上一个被找到的X509证书,如果该参数为NULL,表示第一次被调用

该函数调用成功,将返回被枚举的X509证书结构信息

 

这里说一下PCCERT_CONTEXT,也就是该函数的返回值,它是一个指针指向CERT_CONTEXT,该结构用于描述X509证书信息,其中包括证书的类型,编码后的证书数据,大小,以及具体X509证书内部的详细信息,比如加密算法,Public key等。

 

 

4. BOOL WINAPI CertFreeCertificateContext(PCCERT_CONTEXT pCertContext)

该函数用于释放一个证书结构。

PCCERT_CONTEXT: 要被释放的X509证书结构的指针

该函数调用成功,返回TRUE

 

 

5. BOOL WINAPI CertAddEncodedCertificateToStore(HCERTSTORE hCertStore, DWORD dwCertEncodingType, const BYTE* pbCertEncoded, DWORD cbCertEncoded, DWORD dwAddDisposition, PCCERT_CONTEXT* ppCertContext)

该函数用于添加一个X509证书到证书库当中

hCertStore: 已打开证书库的句柄

dwCertEncodingType: 证书的编码类型,这里只能是X509_ASN_ENCODING,表示X509经过ASN.1编码后的证书

pbCertEncoded: 指向要添加的证书数据

cbCertEncoded: 证书的大小

dwAddDisposition: 添加证书标记位,描述添加方法

ppCertContext: 返回经过解码后的证书,一般设置为NULL,如果不为NULL,该结构要通过CertFreeCertificateContext函数释放

该函数调用成功,返回TRUE

 

 

6. BOOLEAN CRYPTFUNC CryptAcquireContext(HCRYPTPROV* phProv, LPCTSTR pszContainer, LPCTSTR pszProvider, DWORD dwProvType, DWORD dwFlags)

该函数用于获得一个可用的密钥容器。

phProv: 返回一个密钥容器提供者的句柄

pszContainer: 密钥容器的名字,如果该参数为NULL,一个默认的秘钥容器名将被使用,如果最后一个参数类型为CYRPT_VERIFYCONTEXT,则该参数必须为NULL

pszProvider: 密钥容器提供者的名字,为NULL,表示使用一个默认的秘钥容器提供者

dwProvType: 要获得的提供者的类型

dwFlags: 密钥容器标记位,描述如何使用密钥容器

该函数调用成功,返回TRUE

 

 

7. BOOL WINAPI CryptImportKey( HCRYPTPROV hProv, BYTE* pbData, DWORD dwDataLen, HCRYPTKEY hPubKey, DWORD dwFlags, HCRYPTKEY* phKey)

该函数用于导入密钥到密钥容器中。

hProv: 密钥容器的句柄

pbData: 密钥数据,必须是密钥BLOB格式

dwDataLen: 密钥数据长度

hPubKey: 一个公钥的句柄,如果导入的密钥是经过签名或者加密的,需要该公钥进行验证或者解密。如果导入的密钥没有加密,该参数为0

dwFlags: 导入标记位,一般为CRYPT_EXPORTABLE

phKey: 返回导入密钥的句柄

该函数调用成功,返回TRUE

 

 

8. CryptExportPublicKeyInfo(HCRYPTPROV hCryptProv, DWORD dwKeySpec, DWORD dwCertEncodingType, PCERT_PUBLIC_KEY_INFO pInfo, DWORD *pcbInfo)

该函数用于导出公钥信息。

hCryptProv: 密钥容器的句柄

dwKeySpec: 密钥的类型,可以是AT_KEYEXCHANGE或者AT_SIGNATURE

dwCertEncodingType: 编码类型,应该是X509_ASN_ENCODING

pInfo: 指向导出的公钥信息

pcbInfo: 作为输入指向Buffer的大小,作为输出表示到处公钥信息的长度

 

 

9. PCCERT_CONTEXT WINAPI CertFindCertificateInStore(HCERTSTORE hCertStore, DWORD dwCertEncodingType, DWORD dwFindFlags, DWORD dwFindType, const void* pvFindPara, PCCERT_CONTEXT pPrevCertContext)

该函数用于在证书库中查找一个X509证书。

hCertStore: 已打开的证书库的句柄

dwCertEncodingType: 证书的类型,只能是X509_ASN_ENCODING

dwFindFlags: 没被使用,设置为0

dwFindType: 指定查找方法,设置为NULL表示返回下一个证书,也可以设置根据发行者信息,证书的IDpublic key以及签名等信息来查找

pvFindPara: 指向查找的信息

pPrevCertContext: 指向最后一次调用该函数返回的证书信息,一般设置为NULL

该函数调用成功,将返回找到的证书的信息结构。如果没有找到证书,将返回NULL

 

 

10. BOOL CRYPTFUNC CryptDestroyKey(HCRYPTKEY hKey)

该函数用于释放一个被导入的密钥的句柄。

hKey: 曾经被导入到密钥容器中的密钥句柄

函数调用成功,返回TRUE

 

 

11. BOOL WINAPI CryptReleaseContext(HCRYPTPROV hProv, DWORD dwFlags)

该函数用于释放一个以获得的密钥容器。

hProv: 密钥容器的句柄

dwFlags: 没被使用,设置为0

该函数调用成功,返回TRUE

 

 

看完上面的介绍,但是感觉不知如何入手。我第一次使用CryptoAPI就是这种感觉,看完MSDN以后,还是不知道怎么用。幸好WinCE的控制面板中提供了证书和私钥导入的工具,同时也提供了源代码,源代码在” D:/WINCE600/PUBLIC/WCESHELLFE/OAK/CTLPNL/CPLMAIN”下面的certcpl.cpp文件中。我在看过源代码后,将部分移植到我的应用中用于证书和私钥的导入,下面结合代码介绍一下函数的使用。

 

//初始化函数,打开证书库

DWORD Cert_Init(void)

{

      DWORD fRet = FALSE;

      HANDLE hCaStore;

      PCCERT_CONTEXT pCaCert;

      WCHAR szName[512];

 

      //加载Crypt32.dll

      g_hCrypt32 = LoadLibraryW(L"crypt32.dll");

      g_CaPubKeySize = 0;

      if (g_hCrypt32)

      {

            pCertOpenStore = (PFNCERTOPENSTORE)GetProcAddressW(g_hCrypt32, L"CertOpenStore");

            pCertAddEncodedCertificateToStore = (PFNCERTADDENCODEDCERTIFICATETOSTORE)GetProcAddressW(g_hCrypt32, L"CertAddEncodedCertificateToStore");

            pCertCloseStore = (PFNCERTCLOSESTORE)GetProcAddressW(g_hCrypt32, L"CertCloseStore");

            pCryptExportPublicKeyInfo = (PFNCRYPTEXPORTPUBLICKEYINFO)GetProcAddressW(g_hCrypt32, L"CryptExportPublicKeyInfo");

            pCertFindCertificateInStore = (PFNCERTFINDCERTIFICATEINSTORE)GetProcAddressW(g_hCrypt32, L"CertFindCertificateInStore");

            pCertSetCertificateContextProperty = (PFNCERTSETCERTIFICATECONTEXTPROPERTY)GetProcAddressW(g_hCrypt32, L"CertSetCertificateContextProperty");

            pCertFreeCertificateContext = (PFNCERTFREECERTIFICATECONTEXT)GetProcAddressW(g_hCrypt32, L"CertFreeCertificateContext");

            pCryptAcquireCertificatePrivateKey = (PFNCRYPTACQUIRECERTIFICATEPRIVATEKEY)GetProcAddressW(g_hCrypt32, L"CryptAcquireCertificatePrivateKey");

            pCryptDecodeObjectEx = (PFNCRYPTDECODEOBJECTEX)GetProcAddressW(g_hCrypt32, L"CryptDecodeObjectEx");

            pCryptImportPublicKeyInfoEx = (PFNCRYPTIMPORTPUBLICKEYINFOEX)GetProcAddressW(g_hCrypt32, L"CryptImportPublicKeyInfoEx");

            pCertEnumCertificatesInStore = (PFNCERTENUMCERTIFICATESINSTORE)GetProcAddressW(g_hCrypt32, L"CertEnumCertificatesInStore");

            // 打开证书库

            hStore = pCertOpenStore(CERT_STORE_PROV_SYSTEM, 0, 0, CERT_SYSTEM_STORE_CURRENT_USER | CERT_STORE_MAXIMUM_ALLOWED_FLAG, TEXT("My"));

            if (hStore != NULL)

            {

                  fRet = TRUE;

            }

      }

     

      return fRet;

}

 

//导入X509证书,lpszFileName为证书的路径

DWORD Cert_ImportCert(LPTSTR lpszFileName)

{

      DWORD dwSize, dwRealSize;

      PBYTE pbFile = NULL;

      HANDLE hFile = INVALID_HANDLE_VALUE;

      BOOL fRet = FALSE;

 

 

      // 打开证书文件

      hFile = CreateFile(lpszFileName, GENERIC_READ, 0, NULL,      OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL, NULL);

      if (hFile)

      {     // 获得证书文件大小

            dwSize = GetFileSize(hFile, NULL);

            if (dwSize != 0xFFFFFFFF)

            {     // 分配内存

                  pbFile = (PBYTE)LocalAlloc(LPTR, dwSize);

                  if (pbFile)

                  {     // 读入证书

                        if (ReadFile(hFile, pbFile, dwSize, &dwRealSize, NULL) == TRUE)

                        {    

                              // 添加一个DER格式的X509证书到证书库

                              fRet = pCertAddEncodedCertificateToStore(hStore, X509_ASN_ENCODING,

                                          pbFile, dwRealSize, CERT_STORE_ADD_NEWER_INHERIT_PROPERTIES,0);

                              if (fRet == TRUE)

                              {

                                    printf("Import Certificate OK./r/n");

                              }

                              else if (fRet = CRYPT_E_EXISTS)

                              {

                                    printf("Certificate exists./r/n");

                                    fRet = TRUE;

                              }

                              else

                              {

                                    printf("Import Certificate Error./r/n");

                              }

                        }

                  }

抱歉!评论已关闭.