3

当使用具有有效上下文的 win32 API 中的 EncryptMessage (SChannel) 时,我以正确的顺序提供四个缓冲区,我得到 SEC_E_INVALID_TOKEN 响应,根据文档,该响应是没有找到 SECBUFFER_DATA 类型的缓冲区。我知道应该从连续内存中分配 pvBuffers 集以提高速度,但为简单起见,我已经清楚地表明了什么是什么。谁能看到问题可能是什么?

谢谢,布鲁斯

代码如下;

procedure TTCPSocket.SSPEncryptBuffer(SSPCtx: PCtxtHandle; InData: PAnsiChar; InDataLength: Cardinal);
var
  SecStatus: TSecurityStatus;

  SecBufDesc: TSecBufferDesc;
  SecBufs: packed array [0 .. 3] of TSecBuffer;
begin
  SecBufs[0].BufferType := SECBUFFER_STREAM_HEADER;
  SecBufs[0].cbBuffer := FSecPkgSizes.cbHeader;
  SecBufs[0].pvBuffer := AllocMem(FSecPkgSizes.cbHeader); 

  SecBufs[1].BufferType := SECBUFFER_DATA;
  SecBufs[1].cbBuffer := InDataLength; 
  SecBufs[1].pvBuffer := InData; 

  SecBufs[2].BufferType := SECBUFFER_STREAM_TRAILER;
  SecBufs[2].cbBuffer := FSecPkgSizes.cbTrailer;
  SecBufs[2].pvBuffer := AllocMem(FSecPkgSizes.cbTrailer);

  SecBufs[3].BufferType := SECBUFFER_EMPTY;
  SecBufs[3].cbBuffer := 0;
  SecBufs[3].pvBuffer := nil;

  SecBufDesc.ulVersion := SECBUFFER_VERSION;
  SecBufDesc.cBuffers := 4;
  SecBufDesc.pBuffers := @SecBufs[0];

  SecStatus := EncryptMessage(SSPCtx, 0, @SecBufDesc, 0);

  if SecStatus <> SEC_E_OK then
  begin
    // Error code..
  end;
end;

我使用 STRACE 注入可执行文件,这一行看起来很有趣;

12/07/2009 23:10:30:635 - SecBuffer #0 BufferType:0x00000007 cbBuffer:5
12/07/2009 23:10:30:636 - SecBuffer #1 BufferType:0x00000001 cbBuffer:13
12/07/2009 23:10:30:636 - SECBUFFER_DATA - 13 byte(s) / EncryptMessage - INPUT 
=====================================================
      00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f   0123456789abcdef

0000: 68 65 6c 6c 6f 20 77 6f 72 6c 64 21 00            hello world!.
=====================================================
12/07/2009 23:10:30:636 - SecBuffer #2 BufferType:0x00000006 cbBuffer:36
12/07/2009 23:10:30:636 - SecBuffer #3 BufferType:0x00000000 cbBuffer:0
12/07/2009 23:10:30:636 - 

 *** WARNING : EncryptMessage failed (80090308) ***

这看起来好像操作系统正在获取正确的信息。

我搜索了一下,发现 80090308 通常意味着证书有问题,因为服务器的全名应该在主题中,CN=www.foobar.com 但这也没有解决问题,证书和CA 是使用 OpenSSL 生成的。

4

2 回答 2

3

这里有点猜测,因为这似乎是人们在 Windows 上尝试使用非对称加密做任何事情时遇到的常见问题。

如果它是自签名 CA,并且您的证书是使用自签名 CA 签名的,则需要将该 CA 导入计算机的受信任 CA 存储。

为此,请运行 MMC 并执行以下操作:

  1. 文件->添加/删除管理单元

  2. 如果您希望它适用于计算机上的所有用户,请添加“证书”管理单元并选择“计算机帐户”。

  3. 打开“受信任的根证书颁发机构->证书”树节点。

  4. 右键单击“证书”并选择导入。

  5. 导入 CA 证书文件。(它应该毫无问题地接受 PEM 编码版本。)

虽然在大多数情况下 CN 需要与计算机证书中的计算机名称匹配,但如果 CA 未导入 Windows 信任存储,CA 验证将失败。

我希望它有所帮助。

于 2009-12-12T16:06:16.423 回答
2

当您在客户端和服务器上设置上下文时使用;

InitializeSecurityContext // Schannel Client
AcceptSecurityContext // Schannel Server

请特别注意您传入的标志以获取所需的上下文类型,因为这决定了 EncryptMessage 和 DecryptMessage 所需的 SecBuffer(s) 类型。例如我目前正在使用;

  FClientContextFlags :=
    ISC_REQ_CONFIDENTIALITY or
    ISC_REQ_STREAM or
    ISC_REQ_ALLOCATE_MEMORY;

  FServerContextFlags :=
    ASC_REQ_CONFIDENTIALITY or
    ASC_REQ_STREAM or
    ASC_REQ_ALLOCATE_MEMORY;

这意味着对于 EncryptMessage,您需要四个 SecBuffers;

SECBUFFER_STREAM_HEADER
SECBUFFER_DATA
SECBUFFER_STREAM_TRAILER
SECBUFFER_EMPTY

对于 DecryptMessage,您还需要四个 SecBuffers;

SECBUFFER_DATA
SECBUFFER_EMPTY
SECBUFFER_EMPTY
SECBUFFER_EMPTY

我的问题是我有 *_REQ_STREAM 和 *_REQ_CONNECTION 在仔细阅读文档时它们基本上是不兼容的。这是确保您拥有有效的证书/受信任等的基础。

我希望这可以帮助别人。

布鲁斯

于 2009-12-16T04:04:59.540 回答