从ISAPI请求中检索客户端证书链

时间:2012-02-10 11:32:02

标签: c iis x509certificate isapi

我想从ISAPI中的请求中检索整个客户端证书链。

我已成功通过调用以下代码获取客户端证书链中的第一个证书:

LPEXTENSION_CONTROL_BLOCK ecb_;

...

CERT_CONTEXT_EX cce;
memset(&cce, 0, sizeof(CERT_CONTEXT_EX));
char certbuf[64*1024];
cce.cbAllocated = sizeof(certbuf);
cce.CertContext.pbCertEncoded = (BYTE *) &certbuf;
ecb_->ServerSupportFunction(ecb_->ConnID, HSE_REQ_GET_CERT_INFO_EX, &cce, 0, 0)

但是,我没有找到如何从此CERT_CONTEXT_EX结构中检索证书链的其余部分。

1 个答案:

答案 0 :(得分:0)

我刚刚遇到了这个老问题。对不起,我没有早点见到。

很多年前,我写了一个样本,展示了如何使用CAPICOM做到这一点。不幸的是,CAPICOM正逐渐被淘汰,尽管它仍然有效。

我在Koders上找到了旧的isapiCertPolicy示例:

http://www.koders.com/cpp/fid977D79B2C51AD2423E4F57B6B36C3806F167CF79.aspx

以下是相关的代码片段:

#import "capicom.dll"

char CertificateBuf[8192];
CERT_CONTEXT_EX ccex;
ccex.cbAllocated = sizeof(CertificateBuf);
ccex.CertContext.pbCertEncoded = (BYTE*)CertificateBuf;
ccex.dwCertificateFlags = 0;
DWORD dwSize = sizeof(ccex);

fOk = pCtxt->ServerSupportFunction(
    (enum SF_REQ_TYPE)HSE_REQ_GET_CERT_INFO_EX,
    (LPVOID)&ccex,
    &dwSize,
    NULL);

_bstr_t bstrCert(
    SysAllocStringLen(
        (OLECHAR * )ccex.CertContext.pbCertEncoded,
        (ccex.CertContext.cbCertEncoded+1)/2),
    FALSE);

CAPICOM::ICertificate2Ptr Cert(__uuidof(CAPICOM::Certificate));
Cert->Import(bstrCert);

CAPICOM::IChainPtr Chain(__uuidof(CAPICOM::Chain));
BOOL fOk = Chain->Build(Cert);

CAPICOM::ICertificatesPtr Certs(NULL);
Certs = Chain->Certificates;

CAPICOM::ICertificate2Ptr ParentCert(Certs->Item[2])

Chain对象构建证书链。如果您不能使用CAPICOM,您可以使用Crypto API的CertGetCertificateChain函数获取证书链,但它的工作量更大。