2

作为我正在编写的应用程序的一部分,我希望我的程序在本地机器上临时安装一个证书,并让 WinHTTP 在连接到 Web 服务器时将其用作客户端证书。这样做的目的是帮助保护 Web 服务器免受未经授权的访问(此证书只是安全的一层 - 我知道有人可以从 .exe 中提取它)。我不希望用户必须安装证书,也不希望在应用程序未运行时将证书留在 PC 上。

目前,我正在尝试这个:

从 .p12 文件手动安装证书

使用 C++ 应用程序从本地证书中获取二进制数据并进入我的应用程序中的 C 数组(使用 CryptExportKey 和 PCCERT_CONTEXT::pbCertEncoded)

卸载证书

当应用程序启动时:

为证书打开一个临时存储

m_certificateStoreHandle = CertOpenStore( CERT_STORE_PROV_MEMORY, 0, NULL, 0, NULL );

调用 CertAddEncodedCertificateToStore 添加证书

CertAddEncodedCertificateToStore( m_certificateStoreHandle,
X509_ASN_ENCODING | PKCS_7_ASN_ENCODING, 
reinterpret_cast< const BYTE * >( certificateData ),
dataSize, 
CERT_STORE_ADD_REPLACE_EXISTING,
&m_clientCertificate )

调用 CryptAcquireContext 以获取存储私钥的位置(我暂时在每次运行时更改密钥的名称 - 理想情况下,我计划使用 CRYPT_VERIFYCONTEXT 使密钥不持久,但现在可以忽略)

HCRYPTPROV cryptProvider = NULL;
HCRYPTKEY cryptKey = NULL;
CryptAcquireContext( &cryptProvider, "MyTestKeyNumber123", NULL, PROV_RSA_FULL, CRYPT_NEWKEYSET )

调用 CryptImportKey 将私钥加载到密钥库中

CryptImportKey( cryptProvider, reinterpret_cast< BYTE * >( privateKey ), keySize, 0, CRYPT_EXPORTABLE, &cryptKey )

调用 CertSetCertificateContextProperty 将证书链接到私钥

char containerName[128];
DWORD containerNameSize = ARRAY_NUM_BYTES(containerName);
char providerName[128];
DWORD providerNameSize = ARRAY_NUM_BYTES(providerName);

CryptGetProvParam(cryptProvider, PP_CONTAINER, reinterpret_cast<byte *>(containerName), &containerNameSize, 0)
CryptGetProvParam(cryptProvider, PP_NAME, reinterpret_cast<byte *>(providerName), &providerNameSize, 0)

WCHAR containerNameWide[128];
convertCharToWChar(containerNameWide, containerName);
WCHAR providerNameWide[128];
convertCharToWChar(providerNameWide, providerName);

CRYPT_KEY_PROV_INFO privateKeyData;
neMemZero(&privateKeyData, sizeof(privateKeyData));
privateKeyData.pwszContainerName = containerNameWide;
privateKeyData.pwszProvName = providerNameWide;
privateKeyData.dwProvType = 0;
privateKeyData.dwFlags = CRYPT_SILENT;
privateKeyData.dwKeySpec = AT_KEYEXCHANGE;

if ( CertSetCertificateContextProperty( m_clientCertificate, CERT_KEY_PROV_INFO_PROP_ID, 0, &privateKeyData ) )

验证我可以访问私钥(工作,输出与我硬编码到应用程序中完全相同的数据)

byte privateKeyBuffer[2048];
DWORD privateKeyBufferSize = ARRAY_NUM_BYTES(privateKeyBuffer);
memZero(privateKeyBuffer, privateKeyBufferSize);
if(CryptExportKey(cryptKey, 0, PRIVATEKEYBLOB, 0, privateKeyBuffer, &privateKeyBufferSize))
{
   TRACE("Got private key!");
   LOG_BUFFER(privateKeyBuffer, privateKeyBufferSize);
}

尝试验证客户端证书按预期工作

char certNameBuffer[128] = "";
char certUrlBuffer[128] = "";
CertGetNameString(testValue, CERT_NAME_FRIENDLY_DISPLAY_TYPE, 0, NULL, certNameBuffer, ARRAY_NUM_BYTES(certNameBuffer));
CertGetNameString(testValue, CERT_NAME_URL_TYPE , 0, NULL, certUrlBuffer, ARRAY_NUM_BYTES(certUrlBuffer));
TRACE("SSL Certificate %s [%s]", certNameBuffer, certUrlBuffer);

HCRYPTPROV_OR_NCRYPT_KEY_HANDLE privateKey;
DWORD privateKeyType;
BOOL freeKeyAfter = false;
if(CryptAcquireCertificatePrivateKey(testValue, CRYPT_ACQUIRE_NO_HEALING, NULL, &privateKey, &privateKeyType, &freeKeyAfter))
{
    HCRYPTPROV privateKeyProvider = static_cast<HCRYPTPROV>(privateKey);
    HCRYPTKEY privateKeyHandle;
    if(CryptGetUserKey(privateKeyProvider, privateKeyType, &privateKeyHandle))
    {
        NEbyte privateKeyBuffer[2048];
        DWORD privateKeyBufferSize = NE_ARRAY_NUM_BYTES(privateKeyBuffer);
        neMemZero(privateKeyBuffer, privateKeyBufferSize);
        if(CryptExportKey(privateKeyHandle, 0, PRIVATEKEYBLOB, 0, privateKeyBuffer, &privateKeyBufferSize))
        {
            NE_TRACE("Got private key!");
            HTTP_LOG_BUFFER(neGetGlobalTraceLog(), "Key", "", privateKeyBuffer, privateKeyBufferSize);
        }

在这个阶段,找到了私钥,但对 CryptExportKey 的调用失败并显示 NTE_BAD_KEY_STATE。当我尝试将客户端证书与 WinHTTP 一起使用时,我得到 ERROR_WINHTTP_CLIENT_CERT_NO_ACCESS_PRIVATE_KEY。如果有人想知道,我告诉 WinHTTP 使用带有以下代码的客户端证书:

if ( !WinHttpSetOption( handle,
                                WINHTTP_OPTION_CLIENT_CERT_CONTEXT,
                                const_cast<PCERT_CONTEXT>(m_clientCertificate),
                                sizeof( CERT_CONTEXT ) ) )
        {
            HTTP_LOG_ERROR( getLog(), "Setting the client certificate failed with error code %x", GetLastError() );
        }

我看到它的方式,直到我可以以某种方式将私钥和证书链接在一起并制作它以便我可以使用 CryptAcquireCertificatePrivateKey 和 CryptExportKey 来取回密钥数据,WinHTTP 没有成功的机会。

关于为什么我似乎无法获得使用私钥的证书的任何想法?

4

1 回答 1

1

我没有设法让这种方法奏效。相反,我最终使用了 PFXImportCertStore 以及包含我想要使用的证书和私钥的原始 .p12 文件。

从我所见,PFXImportCertStore 似乎将在内存中创建一个新存储。我唯一无法确定的是私钥是否也存储在内存中,或者它是否最终永久存储在 PC 上的某个地方。如果我找到任何一种方式,我会更新这个答案。

m_clientCertificateStoreHandle = PFXImportCertStore(&pfxData, certificatePassword, 0);
if(NULL != m_clientCertificateStoreHandle)
{
m_clientCertificateHandle = CertFindCertificateInStore( m_clientCertificateStoreHandle, X509_ASN_ENCODING | PKCS_7_ASN_ENCODING, 0, CERT_FIND_ANY, NULL, NULL );
}
于 2011-09-02T12:53:02.793 回答