使用windows crypt API解析X509证书

一、版本号

结构体CERT_INFO中的字段dwVersion即为证书版本，可以直接通过下面的代码获得：

DWORD dwCertVer = m_pCertContext->pCertInfo->dwVersion;

版本值的定义如下：

#define CERT_V1 0

#define CERT_V2 1

#define CERT_V3 2

也就是说，V1的值为0；V3的值为2，目前绝大多是证书都是V3版本。

二、序列号

序列号对应结构体CERT_INFO中的字段SerialNumber，不过该字段为ASN.1编码的大数对象，需要解码才能转化为我们平时看到的十六进制序列号。获取序列号的函数如下：

ULONG CCSPCertificate::get_SN(LPSTR lptcSN,ULONG *pulLen)
{   
    CHAR scSN[512] = {0};
 
    if (!m_pCertContext)
    {
        return CERT_ERR_INVILIDCALL;
    }
    if (!pulLen)
    {
        return CERT_ERR_INVALIDPARAM;
    }
     
    PCRYPT_INTEGER_BLOB pSn = &(m_pCertContext->pCertInfo->SerialNumber);
    for (int n = (int)(pSn->cbData - 1); n >= 0; n--)
    {
        CHAR szHex[5] = {0};
        sprintf_s(szHex, "%02X", (pSn->pbData)[n]);
        strcat_s(scSN, 512, szHex);
    }
 
    if (!lptcSN)
    {
        *pulLen = strlen(scSN) + 1;
        return CERT_ERR_OK;
    }
 
    if (*pulLen <= strlen(scSN) + 1)
    {
        return CERT_ERR_BUFFER_TOO_SMALL;
    }
    strcpy_s(lptcSN, *pulLen, scSN);
    *pulLen = strlen(scSN);
 
    return CERT_ERR_OK;
}

三、公钥算法(证书算法)

证书中的公钥算法，需要通过CERT_INFO中字段SubjectPublicKeyInfo来获取。具体函数如下：

ULONG CCSPCertificate::get_KeyType(ULONG* pulType)
{   
    if (!m_pCertContext)
    {
        return CERT_ERR_INVILIDCALL;
    }
    if (!pulType)
    {
        return CERT_ERR_INVALIDPARAM;
    }
 
    PCERT_PUBLIC_KEY_INFO pPubKey = &(m_pCertContext->pCertInfo->SubjectPublicKeyInfo);
    if (pPubKey)
    {
        if (_stricmp(pPubKey->Algorithm.pszObjId, szOID_RSA_RSA) == 0)
        {
            *pulType = CERT_KEY_ALG_RSA;
        }
        else if (_stricmp(pPubKey->Algorithm.pszObjId, szOID_ECC_PUBLIC_KEY) == 0)
        {
            *pulType = CERT_KEY_ALG_ECC;
        }
        else
        {
            *pulType = 0;
            return CERT_ERR_ALG_UNKNOWN;
        }
    }
    else
    {
        return GetLastError();
    }
 
    return CERT_ERR_OK;
}

四、证书用途

证书从用途来分，分为“签名证书”和“加密证书”两大类。“签名证书”的公钥用来验证签名，而“加密证书”的公钥则用来加密数据。我们需要通过调用函数CertGetIntendedKeyUsage()来获取证书的用途，具体函数实现如下：

ULONG CCSPCertificate::get_KeyUsage(ULONG* lpUsage)
{   
    BYTE btUsage[2] = {0};
 
    if (!m_pCertContext)
    {
        return CERT_ERR_INVILIDCALL;
    }
    if (!lpUsage)
    {
        return CERT_ERR_INVALIDPARAM;
    }
 
    if (CertGetIntendedKeyUsage(GLOBAL_ENCODING_TYPE, m_pCertContext->pCertInfo, btUsage, 2))
    {
        if (btUsage[0] & CERT_DIGITAL_SIGNATURE_KEY_USAGE)
        {
            *lpUsage = CERT_USAGE_SIGN;
        }
        else if (btUsage[0] & CERT_DATA_ENCIPHERMENT_KEY_USAGE)
        {
            *lpUsage = CERT_USAGE_EXCH;
        }
        else
        {
            *lpUsage = 0;
            return CERT_ERR_USAGE_UNKNOWN;
        }
    }
    else
    {
        return GetLastError();
    }
 
    return CERT_ERR_OK;
}

五、签名算法

证书的签名算法，是指证书用来签名时使用的算法(包含HASH算法)。签名算法用结构体CERT_INFO中SignatureAlgorithm字段来表示，可以通过SignatureAlgorithm的子字段pszObjId返回签名算法的Oid，这样对比Oid就可以知道签名算法的具体含义了。pszObjId常见得定义如下：

#define CERT_SIGNATURE_ALG_RSA_RSA  "1.2.840.113549.1.1.1"   //RSA直接签名
#define CERT_SIGNATURE_ALG_MD2RSA   "1.2.840.113549.1.1.2"   //MD2作Hash、然后RSA签名
#define CERT_SIGNATURE_ALG_MD4RSA   "1.2.840.113549.1.1.3"   //MD4作Hash、然后RSA签名
#define CERT_SIGNATURE_ALG_MD5RSA   "1.2.840.113549.1.1.4"   //MD5作Hash、然后RSA签名
#define CERT_SIGNATURE_ALG_SHA1RSA  "1.2.840.113549.1.1.5"   //SHA1作Hash、然后RSA签名
#define CERT_SIGNATURE_ALG_SM3SM2   "1.2.156.10197.1.501"    //SM3作Hash、然后SM2签名

以上为http://blog.csdn.net/yyfzy/article/details/46790043内容

接下来是我的实现截图