作为我正在撰写的应用程序的一部分,我希望我的程序在本地计算机上临时安装证书,并希望WinHTTP在连接到Web服务器时将其用作客户端证书。这样做的目的是帮助保护Web服务器免受未经授权的访问(此证书只是安全层 - 我知道有人可以从.exe中提取它)。我不希望用户必须安装证书,并且我不希望在应用程序未运行时将证书留在PC上。
目前,我正在尝试这个:
从.p12文件手动安装证书
使用C ++应用程序将二进制数据从本地证书中取出并放入我的应用程序中的C数组中(使用CryptExportKey和PCCERT_CONTEXT :: pbCertEncoded)
卸载证书
应用程序启动时:
打开证书的临时商店
m_certificateStoreHandle = CertOpenStore( CERT_STORE_PROV_MEMORY, 0, NULL, 0, NULL );
调用CertAddEncodedCertificateToStore添加证书
CertAddEncodedCertificateToStore( m_certificateStoreHandle,
X509_ASN_ENCODING | PKCS_7_ASN_ENCODING,
reinterpret_cast< const BYTE * >( certificateData ),
dataSize,
CERT_STORE_ADD_REPLACE_EXISTING,
&m_clientCertificate )
调用CryptAcquireContext以获取存储私钥的位置(我暂时改变每次运行时密钥的名称 - 理想情况下我计划使用CRYPT_VERIFYCONTEXT使密钥不持久,但现在要忽略这一点)
HCRYPTPROV cryptProvider = NULL;
HCRYPTKEY cryptKey = NULL;
CryptAcquireContext( &cryptProvider, "MyTestKeyNumber123", NULL, PROV_RSA_FULL, CRYPT_NEWKEYSET )
调用CryptImportKey将私钥加载到密钥库
CryptImportKey( cryptProvider, reinterpret_cast< BYTE * >( privateKey ), keySize, 0, CRYPT_EXPORTABLE, &cryptKey )
调用CertSetCertificateContextProperty将证书链接到私钥
char containerName[128];
DWORD containerNameSize = ARRAY_NUM_BYTES(containerName);
char providerName[128];
DWORD providerNameSize = ARRAY_NUM_BYTES(providerName);
CryptGetProvParam(cryptProvider, PP_CONTAINER, reinterpret_cast<byte *>(containerName), &containerNameSize, 0)
CryptGetProvParam(cryptProvider, PP_NAME, reinterpret_cast<byte *>(providerName), &providerNameSize, 0)
WCHAR containerNameWide[128];
convertCharToWChar(containerNameWide, containerName);
WCHAR providerNameWide[128];
convertCharToWChar(providerNameWide, providerName);
CRYPT_KEY_PROV_INFO privateKeyData;
neMemZero(&privateKeyData, sizeof(privateKeyData));
privateKeyData.pwszContainerName = containerNameWide;
privateKeyData.pwszProvName = providerNameWide;
privateKeyData.dwProvType = 0;
privateKeyData.dwFlags = CRYPT_SILENT;
privateKeyData.dwKeySpec = AT_KEYEXCHANGE;
if ( CertSetCertificateContextProperty( m_clientCertificate, CERT_KEY_PROV_INFO_PROP_ID, 0, &privateKeyData ) )
验证我可以访问私钥(Works,输出与我硬编码到应用程序中完全相同的数据)
byte privateKeyBuffer[2048];
DWORD privateKeyBufferSize = ARRAY_NUM_BYTES(privateKeyBuffer);
memZero(privateKeyBuffer, privateKeyBufferSize);
if(CryptExportKey(cryptKey, 0, PRIVATEKEYBLOB, 0, privateKeyBuffer, &privateKeyBufferSize))
{
TRACE("Got private key!");
LOG_BUFFER(privateKeyBuffer, privateKeyBufferSize);
}
尝试验证客户端证书是否按预期工作
char certNameBuffer[128] = "";
char certUrlBuffer[128] = "";
CertGetNameString(testValue, CERT_NAME_FRIENDLY_DISPLAY_TYPE, 0, NULL, certNameBuffer, ARRAY_NUM_BYTES(certNameBuffer));
CertGetNameString(testValue, CERT_NAME_URL_TYPE , 0, NULL, certUrlBuffer, ARRAY_NUM_BYTES(certUrlBuffer));
TRACE("SSL Certificate %s [%s]", certNameBuffer, certUrlBuffer);
HCRYPTPROV_OR_NCRYPT_KEY_HANDLE privateKey;
DWORD privateKeyType;
BOOL freeKeyAfter = false;
if(CryptAcquireCertificatePrivateKey(testValue, CRYPT_ACQUIRE_NO_HEALING, NULL, &privateKey, &privateKeyType, &freeKeyAfter))
{
HCRYPTPROV privateKeyProvider = static_cast<HCRYPTPROV>(privateKey);
HCRYPTKEY privateKeyHandle;
if(CryptGetUserKey(privateKeyProvider, privateKeyType, &privateKeyHandle))
{
NEbyte privateKeyBuffer[2048];
DWORD privateKeyBufferSize = NE_ARRAY_NUM_BYTES(privateKeyBuffer);
neMemZero(privateKeyBuffer, privateKeyBufferSize);
if(CryptExportKey(privateKeyHandle, 0, PRIVATEKEYBLOB, 0, privateKeyBuffer, &privateKeyBufferSize))
{
NE_TRACE("Got private key!");
HTTP_LOG_BUFFER(neGetGlobalTraceLog(), "Key", "", privateKeyBuffer, privateKeyBufferSize);
}
在此阶段,找到了私钥,但对CryptExportKey的调用失败,NTE_BAD_KEY_STATE。当我尝试使用WinHTTP的客户端证书时,我得到ERROR_WINHTTP_CLIENT_CERT_NO_ACCESS_PRIVATE_KEY。如果有人想知道,我告诉WinHTTP使用这个代码的客户端证书:
if ( !WinHttpSetOption( handle,
WINHTTP_OPTION_CLIENT_CERT_CONTEXT,
const_cast<PCERT_CONTEXT>(m_clientCertificate),
sizeof( CERT_CONTEXT ) ) )
{
HTTP_LOG_ERROR( getLog(), "Setting the client certificate failed with error code %x", GetLastError() );
}
我看到它的方式,直到我能够以某种方式将私钥和证书链接在一起并使其成为可以使用CryptAcquireCertificatePrivateKey和CryptExportKey来获取密钥数据,WinHTTP没有成功的机会。
为什么我似乎无法获得我的证书使用私钥的任何想法?
答案 0 :(得分:1)
我没有设法让这种方法有效。相反,我最终使用PFXImportCertStore以及包含我想要使用的证书和私钥的原始.p12文件。
从我看到的情况来看,PFXImportCertStore似乎将在内存中创建一个新的商店。我唯一无法找到的是私钥是否也存储在内存中,或者它是否在某个地方的PC上有效。如果我发现任何一种方式,我会更新这个答案。
m_clientCertificateStoreHandle = PFXImportCertStore(&pfxData, certificatePassword, 0);
if(NULL != m_clientCertificateStoreHandle)
{
m_clientCertificateHandle = CertFindCertificateInStore( m_clientCertificateStoreHandle, X509_ASN_ENCODING | PKCS_7_ASN_ENCODING, 0, CERT_FIND_ANY, NULL, NULL );
}