- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
在将 Windows keystore 用于 OpenSSL 和客户端证书的过程中,我发现了这篇文章:
https://anexdev.blogspot.com/2018/10/how-to-send-client-certificate-with.html
除了给定代码中的一些拼写错误外,该示例还启发我编写了一些使用 ENGINE CAPI 进行 key 使用的代码。总而言之,在商店( L"MY"
)中找到证书后,我能够发出 ENGINE_load_private_key() 最终返回一个新分配的 EVP_PKEY 结构。
但是,我无法将此 key 与证书结合使用。经过一番调查,我发现该结构仅包含一个版本、一个模数和一个公钥组件:
RSAPrivateKey ::= SEQUENCE {
version Version,
modulus INTEGER, -- n
publicExponent INTEGER, -- e
privateExponent INTEGER, -- d (this field and everything following is mising)
prime1 INTEGER, -- p
prime2 INTEGER, -- q
exponent1 INTEGER, -- d mod (p-1)
exponent2 INTEGER, -- d mod (q-1)
coefficient INTEGER, -- (inverse of q) mod p
otherPrimeInfos OtherPrimeInfos OPTIONAL
}
所以我查看了 OpenSSL 实现的代码。事实上,ENGINE_load_private_key() 至少是在 CAPI 引擎明显不打算导出私钥的情况下。
load_privkey()
选择的引擎。在 CAPI 的情况下,实现定义在
openssl/engines/e_capi.c .此函数调用
capi_find_key()
找到 key 和
capi_get_pkey()
接收它。
static EVP_PKEY *capi_get_pkey(ENGINE *eng, CAPI_KEY *key)
的定义似乎解释了我的问题的根源:
if (!CryptExportKey(key->key, 0, PUBLICKEYBLOB, 0, pubkey, &len)) {
CAPIerr(CAPI_F_CAPI_GET_PKEY, CAPI_R_PUBKEY_EXPORT_ERROR);
capi_addlasterror();
goto err;
}
为什么
capi_get_pkey()
调用
CryptExportKey()
与
PUBLICKEYBLOB
?这是有意规避 Windows 的任何规则并由于已知的 Windows 错误而提取私钥还是
ENGINE_load_private_key()
事实上与 CAPI 结合在一起就被打破了?
ENGINE_load_private_key()
的替代品对于我的应用程序?
最佳答案
我撞到了同一面墙,做了一个小调查。看起来这不是错误,而是 Microsoft CryptoAPI 的工作方式。对于不可导出的 key ,无法使用 CryptExportKey 和 PRIVATEKEYBLOB 从 Windows 证书存储中导出 key 。所以你可以得到一个引用,一个 key 对的 id,稍后你可以使用它通过 CryptoAPI 进行所有加密操作(不能导出真正的 key )。所以openssl CAPI引擎遵循了这条路径,他们只得到一个所需的 key 对id,然后将其泵入CryptoAPI以执行所需的操作。
我认为这也是未实现 capi_rsa_priv_enc 的原因(CryptEncrypt 总是从提供的 key 对 id 中选择公钥)并且因为没有真正导出的私钥(只有 key 对 id),他们甚至无法使用私钥执行加密甚至在 CryptoAPI 旁边。但这只是我的猜测。
关于c - 使用 CAPI 时,ENGINE_load_private_key() 是否有替代品?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/63574245/
我正在为我的应用程序开发一个示例 OpenSSL 引擎。 #include static const char *engine_id = "sample"; static const char *e
在将 Windows keystore 用于 OpenSSL 和客户端证书的过程中,我发现了这篇文章: https://anexdev.blogspot.com/2018/10/how-to-send
我是一名优秀的程序员,十分优秀!