c - 使用 CAPI 时，ENGINE_load_private_key() 是否有替代品？

Question

在将 Windows keystore 用于 OpenSSL 和客户端证书的过程中，我发现了这篇文章:
https://anexdev.blogspot.com/2018/10/how-to-send-client-certificate-with.html
除了给定代码中的一些拼写错误外，该示例还启发我编写了一些使用 ENGINE CAPI 进行 key 使用的代码。总而言之，在商店( L"MY" )中找到证书后，我能够发出 ENGINE_load_private_key() 最终返回一个新分配的 EVP_PKEY 结构。
但是，我无法将此 key 与证书结合使用。经过一番调查，我发现该结构仅包含一个版本、一个模数和一个公钥组件:

RSAPrivateKey ::= SEQUENCE {
  version           Version,
  modulus           INTEGER,  -- n
  publicExponent    INTEGER,  -- e
  privateExponent   INTEGER,  -- d  (this field and everything following is mising)
  prime1            INTEGER,  -- p
  prime2            INTEGER,  -- q
  exponent1         INTEGER,  -- d mod (p-1)
  exponent2         INTEGER,  -- d mod (q-1)
  coefficient       INTEGER,  -- (inverse of q) mod p
  otherPrimeInfos   OtherPrimeInfos OPTIONAL
}

所以我查看了 OpenSSL 实现的代码。事实上，ENGINE_load_private_key() 至少是在 CAPI 引擎明显不打算导出私钥的情况下。
在 openssl/crypto/engine/eng_pkey.c该函数调用成员 load_privkey()选择的引擎。在 CAPI 的情况下，实现定义在 openssl/engines/e_capi.c .此函数调用 capi_find_key()找到 key 和 capi_get_pkey()接收它。
仔细看看 static EVP_PKEY *capi_get_pkey(ENGINE *eng, CAPI_KEY *key) 的定义似乎解释了我的问题的根源:

   if (!CryptExportKey(key->key, 0, PUBLICKEYBLOB, 0, pubkey, &len)) {
        CAPIerr(CAPI_F_CAPI_GET_PKEY, CAPI_R_PUBKEY_EXPORT_ERROR);
        capi_addlasterror();
        goto err;
    }

为什么 capi_get_pkey()调用 CryptExportKey()与 PUBLICKEYBLOB ?这是有意规避 Windows 的任何规则并由于已知的 Windows 错误而提取私钥还是 ENGINE_load_private_key()事实上与 CAPI 结合在一起就被打破了？
有谁知道 ENGINE_load_private_key() 的替代品对于我的应用程序？

Answer 1

我撞到了同一面墙，做了一个小调查。看起来这不是错误，而是 Microsoft CryptoAPI 的工作方式。对于不可导出的 key ，无法使用 CryptExportKey 和 PRIVATEKEYBLOB 从 Windows 证书存储中导出 key 。所以你可以得到一个引用，一个 key 对的 id，稍后你可以使用它通过 CryptoAPI 进行所有加密操作(不能导出真正的 key )。所以openssl CAPI引擎遵循了这条路径，他们只得到一个所需的 key 对id，然后将其泵入CryptoAPI以执行所需的操作。
我认为这也是未实现 capi_rsa_priv_enc 的原因(CryptEncrypt 总是从提供的 key 对 id 中选择公钥)并且因为没有真正导出的私钥(只有 key 对 id)，他们甚至无法使用私钥执行加密甚至在 CryptoAPI 旁边。但这只是我的猜测。