CSP：使用CryptoAPI解析X509证书基本项

from  http://blog.csdn.net/yyfzy/article/details/46790043

        在之前的文章“CSP：使用CryptoAPI解码X509证书内容”里，讲述了如何使用CryptoAPI将证书文件解码，得到证书上下文句柄PCCERT_CONTEXT的方法。下面我们接着讲述如何通过证书上下文句柄，获得想要的证书项。本文先讲述如何获取证书的基本项，后面还有文章介绍如何获取证书的扩展项。

       下面的代码，都是假定已经通过解码证书文件、得到了证书上下文句柄m_pCertContext。至于如何解码证书文件、得到证书上下文句柄m_pCertContext，请阅读之前的文章。

        首先，我们看看关于证书上下文的结构定义：

[cpp] view plain copy

1. typedef struct _CERT_CONTEXT {  
2.     DWORD                   dwCertEncodingType;  
3.     BYTE                    *pbCertEncoded;  
4.     DWORD                   cbCertEncoded;  
5.     PCERT_INFO              pCertInfo;  
6.     HCERTSTORE              hCertStore;  
7. } CERT_CONTEXT, *PCERT_CONTEXT;  
8. typedef const CERT_CONTEXT *PCCERT_CONTEXT;  
9.   
10. typedef struct _CERT_INFO {  
11.     DWORD                       dwVersion;  
12.     CRYPT_INTEGER_BLOB          SerialNumber;  
13.     CRYPT_ALGORITHM_IDENTIFIER  SignatureAlgorithm;  
14.     CERT_NAME_BLOB              Issuer;  
15.     FILETIME                    NotBefore;  
16.     FILETIME                    NotAfter;  
17.     CERT_NAME_BLOB              Subject;  
18.     CERT_PUBLIC_KEY_INFO        SubjectPublicKeyInfo;  
19.     CRYPT_BIT_BLOB              IssuerUniqueId;  
20.     CRYPT_BIT_BLOB              SubjectUniqueId;  
21.     DWORD                       cExtension;  
22.     PCERT_EXTENSION             rgExtension;  
23. } CERT_INFO, *PCERT_INFO;  

我们想要获取的证书基本项，有些就直接存在于这两个结构体中。

一、版本号

结构体CERT_INFO中的字段dwVersion即为证书版本，可以直接通过下面的代码获得：

[cpp] view plain copy

1. DWORD dwCertVer = m_pCertContext->pCertInfo->dwVersion;  

版本值的定义如下：

[cpp] view plain copy

1. #define CERT_V1     0  
2. #define CERT_V2     1  
3. #define CERT_V3     2  

也就是说，V1的值为0；V3的值为2，目前绝大多是证书都是V3版本。

二、序列号

序列号对应结构体CERT_INFO中的字段SerialNumber，不过该字段为ASN.1编码的大数对象，需要解码才能转化为我们平时看到的十六进制序列号。获取序列号的函数如下：

[cpp] view plain copy

1. ULONG CCSPCertificate::get_SN(LPSTR lptcSN,ULONG *pulLen)  
2. {     
3.     CHAR scSN[512] = {0};  
4.   
5.     if (!m_pCertContext)  
6.     {  
7.         return CERT_ERR_INVILIDCALL;  
8.     }  
9.     if (!pulLen)  
10.     {  
11.         return CERT_ERR_INVALIDPARAM;  
12.     }  
13.       
14.     PCRYPT_INTEGER_BLOB pSn = &(m_pCertContext->pCertInfo->SerialNumber);  
15.     for (int n = (int)(pSn->cbData - 1); n >= 0; n--)  
16.     {  
17.         CHAR szHex[5] = {0};  
18.         sprintf_s(szHex, "%02X", (pSn->pbData)[n]);  
19.         strcat_s(scSN, 512, szHex);  
20.     }  
21.   
22.     if (!lptcSN)  
23.     {  
24.         *pulLen = strlen(scSN) + 1;  
25.         return CERT_ERR_OK;  
26.     }  
27.   
28.     if (*pulLen <= strlen(scSN) + 1)  
29.     {  
30.         return CERT_ERR_BUFFER_TOO_SMALL;  
31.     }  
32.     strcpy_s(lptcSN, *pulLen, scSN);  
33.     *pulLen = strlen(scSN);  
34.   
35.     return CERT_ERR_OK;  
36. }  

三、公钥算法(证书算法)

证书中的公钥算法，需要通过CERT_INFO中字段SubjectPublicKeyInfo来获取。具体函数如下：

[cpp] view plain copy

1. ULONG CCSPCertificate::get_KeyType(ULONG* pulType)  
2. {     
3.     if (!m_pCertContext)  
4.     {  
5.         return CERT_ERR_INVILIDCALL;  
6.     }  
7.     if (!pulType)  
8.     {  
9.         return CERT_ERR_INVALIDPARAM;  
10.     }  
11.   
12.     PCERT_PUBLIC_KEY_INFO pPubKey = &(m_pCertContext->pCertInfo->SubjectPublicKeyInfo);  
13.     if (pPubKey)  
14.     {  
15.         if (_stricmp(pPubKey->Algorithm.pszObjId, szOID_RSA_RSA) == 0)  
16.         {  
17.             *pulType = CERT_KEY_ALG_RSA;  
18.         }  
19.         else if (_stricmp(pPubKey->Algorithm.pszObjId, szOID_ECC_PUBLIC_KEY) == 0)  
20.         {  
21.             *pulType = CERT_KEY_ALG_ECC;  
22.         }  
23.         else   
24.         {  
25.             *pulType = 0;  
26.             return CERT_ERR_ALG_UNKNOWN;  
27.         }  
28.     }  
29.     else  
30.     {  
31.         return GetLastError();  
32.     }  
33.   
34.     return CERT_ERR_OK;  
35. }  

四、证书用途

证书从用途来分，分为“签名证书”和“加密证书”两大类。“签名证书”的公钥用来验证签名，而“加密证书”的公钥则用来加密数据。我们需要通过调用函数CertGetIntendedKeyUsage()来获取证书的用途，具体函数实现如下：

[cpp] view plain copy

1. ULONG CCSPCertificate::get_KeyUsage(ULONG* lpUsage)  
2. {     
3.     BYTE btUsage[2] = {0};  
4.   
5.     if (!m_pCertContext)  
6.     {  
7.         return CERT_ERR_INVILIDCALL;  
8.     }  
9.     if (!lpUsage)  
10.     {  
11.         return CERT_ERR_INVALIDPARAM;  
12.     }  
13.   
14.     if (CertGetIntendedKeyUsage(GLOBAL_ENCODING_TYPE, m_pCertContext->pCertInfo, btUsage, 2))  
15.     {  
16.         if (btUsage[0] & CERT_DIGITAL_SIGNATURE_KEY_USAGE)  
17.         {  
18.             *lpUsage = CERT_USAGE_SIGN;  
19.         }  
20.         else if (btUsage[0] & CERT_DATA_ENCIPHERMENT_KEY_USAGE)  
21.         {  
22.             *lpUsage = CERT_USAGE_EXCH;  
23.         }  
24.         else  
25.         {  
26.             *lpUsage = 0;  
27.             return CERT_ERR_USAGE_UNKNOWN;  
28.         }  
29.     }  
30.     else  
31.     {  
32.         return GetLastError();  
33.     }  
34.   
35.     return CERT_ERR_OK;  
36. }  

五、签名算法

证书的签名算法，是指证书用来签名时使用的算法(包含HASH算法)。签名算法用结构体CERT_INFO中SignatureAlgorithm字段来表示，可以通过SignatureAlgorithm的子字段pszObjId返回签名算法的Oid，这样对比Oid就可以知道签名算法的具体含义了。pszObjId常见得定义如下：

[cpp] view plain copy

1. #define CERT_SIGNATURE_ALG_RSA_RSA  "1.2.840.113549.1.1.1"   //RSA直接签名  
2. #define CERT_SIGNATURE_ALG_MD2RSA   "1.2.840.113549.1.1.2"   //MD2作Hash、然后RSA签名  
3. #define CERT_SIGNATURE_ALG_MD4RSA   "1.2.840.113549.1.1.3"   //MD4作Hash、然后RSA签名  
4. #define CERT_SIGNATURE_ALG_MD5RSA   "1.2.840.113549.1.1.4"   //MD5作Hash、然后RSA签名  
5. #define CERT_SIGNATURE_ALG_SHA1RSA  "1.2.840.113549.1.1.5"   //SHA1作Hash、然后RSA签名  
6. #define CERT_SIGNATURE_ALG_SM3SM2   "1.2.156.10197.1.501"    //SM3作Hash、然后SM2签名  

由于Windows对SM2/SM3算法还没有定义，所以对于ECC证书，Windows直接显示签名算法的Oid：“1.2.156.10197.1.501”，如下图所示：

六、颁发者

关于颁发者，我们可以通过CERT_NAME_ISSUER_FLAG获取属性。具体通过下面两个函数实现：

[cpp] view plain copy

1. ULONG CCSPCertificate::get_Issuer(LPSTR lpValue, ULONG *pulLen)  
2. {  
3.     ULONG hr = CERT_ERR_OK;  
4.     ULONG ulIssuerLen = 0;  
5.     LPTSTR lpszIssuer = NULL;  
6.       
7.     if (!m_pCertContext)  
8.     {  
9.         return CERT_ERR_INVILIDCALL;  
10.     }  
11.     if (!pulLen)  
12.     {  
13.         return CERT_ERR_INVALIDPARAM;  
14.     }  
15.       
16.     hr = _GetPropertyValue(szOID_COMMON_NAME, CERT_NAME_ISSUER_FLAG, NULL, ulIssuerLen);  
17.     if (0 != hr || ulIssuerLen == 0)  
18.     {  
19.         return hr;  
20.     }  
21.   
22.     if (!lpValue)  
23.     {  
24.         *pulLen = ulIssuerLen;  
25.         return CERT_ERR_OK;  
26.     }  
27.     if (*pulLen <ulIssuerLen)  
28.     {  
29.         return CERT_ERR_BUFFER_TOO_SMALL;  
30.     }  
31.       
32.     hr = _GetPropertyValue(szOID_COMMON_NAME, CERT_NAME_ISSUER_FLAG, lpValue, *pulLen);  
33.     if (0 != hr)  
34.     {  
35.         return hr;  
36.     }  
37.   
38.     return hr;  
39. }  
40.   
41. ULONG CCSPCertificate::_GetPropertyValue(LPCSTR szOId, DWORD dwSourceId, LPSTR lpValue, DWORD &dwValLen)  
42. {  
43.     if (!m_pCertContext)  
44.     {  
45.         return CERT_ERR_INVILIDCALL;  
46.     }  
47.       
48.     dwValLen = CertGetNameStringA(m_pCertContext, CERT_NAME_ATTR_TYPE,   
49.         dwSourceId == CERT_NAME_ISSUER_FLAG ? 1 : 0, (void*)szOId, NULL, 0);  
50.     if (dwValLen <= 1)  
51.     {  
52.         return GetLastError();  
53.     }  
54.   
55.     if (!lpValue)  
56.     {  
57.         return CERT_ERR_OK;  
58.     }  
59.   
60.     dwValLen = CertGetNameStringA(m_pCertContext, CERT_NAME_ATTR_TYPE,   
61.         dwSourceId == CERT_NAME_ISSUER_FLAG ? 1 : 0, (void*)szOId, lpValue, dwValLen);  
62.     if (dwValLen <= 1)  
63.     {  
64.         return GetLastError();  
65.     }  
66.   
67.     return CERT_ERR_OK;  
68. }  

七、使用者

证书使用者用结构体CERT_INFO中Subject字段表示，不过是NAME_BLOB类型，需要调用CertNameToStr()转化为最终的字符串。具体实现函数如下：

[cpp] view plain copy

1. ULONG CCSPCertificate::get_SubjectName(LPSTR lpValue, ULONG *pulLen)  
2. {     
3.     DWORD dwSubjectLen = 0;  
4.     CERT_NAME_BLOB certSubject;  
5.   
6.     if (!m_pCertContext)  
7.     {  
8.         return CERT_ERR_INVILIDCALL;  
9.     }  
10.     if (!pulLen)  
11.     {  
12.         return CERT_ERR_INVALIDPARAM;  
13.     }  
14.   
15.     certSubject = m_pCertContext->pCertInfo->Subject;  
16.     dwSubjectLen = CertNameToStr(GLOBAL_ENCODING_TYPE, &certSubject, CERT_X500_NAME_STR, NULL, 0);  
17.     if (dwSubjectLen <= 1)  
18.     {  
19.         return E_FAIL;  
20.     }  
21.   
22.     if (!lpValue)  
23.     {  
24.         *pulLen = dwSubjectLen;  
25.         return CERT_ERR_OK;  
26.     }  
27.     if (*pulLen < dwSubjectLen)  
28.     {  
29.         return CERT_ERR_BUFFER_TOO_SMALL;  
30.     }  
31.   
32.     *pulLen = CertNameToStrA(GLOBAL_ENCODING_TYPE, &certSubject, CERT_X500_NAME_STR, lpValue, *pulLen);  
33.     if (*pulLen <= 1)  
34.     {  
35.         return GetLastError();  
36.     }  
37.   
38.     return CERT_ERR_OK;  
39. }  

八、有效期限

证书的有效期，在结构体CERT_INFO中，对应于字段NotBefore和NotAfter，两者都是FILETIME类型。可以使用下面的函数，将其转化为SYSTEMTIME类型：

[cpp] view plain copy

1. ULONG CCSPCertificate::get_ValidDate(SYSTEMTIME *ptmStart, SYSTEMTIME *ptmEnd)  
2. {  
3.     FILETIME ftStart;  
4.     FILETIME ftEnd;  
5.   
6.     if (!m_pCertContext)  
7.     {  
8.         return CERT_ERR_INVILIDCALL;  
9.     }  
10.   
11.     if (ptmStart)  
12.     {  
13.         memcpy(&ftStart, &m_pCertContext->pCertInfo->NotBefore, sizeof(FILETIME));  
14.         FileTimeToSystemTime(&ftStart, ptmStart);  
15.     }  
16.     if (ptmEnd)  
17.     {  
18.         memcpy(&ftEnd, &m_pCertContext->pCertInfo->NotAfter, sizeof(FILETIME));  
19.         FileTimeToSystemTime(&ftEnd, ptmEnd);  
20.     }  
21.   
22.     return CERT_ERR_OK;  
23. }  

至此，X509证书的基本项均已解析完毕！如需获取证书的扩展项或者公钥等数据，请关注后续博文。