Ошибка первого вызова certgetcertificatecontextproperty

Казакова	#1 Оставлено : 9 декабря 2009 г. 21:56:41(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 09.12.2009(UTC) Сообщений: 2	Добрый день. Вопрос такой. Используется функция WINCRYPT32API BOOL WINAPI CertGetCertificateContextProperty( __in PCCERT_CONTEXT pCertContext, __in DWORD dwPropId, __out_bcount_part_opt(*pcbData, *pcbData) void *pvData, __inout DWORD *pcbData ); Случай 1. Если ей передается на вход сертификат, установленный с сайта cryptopro, у которого удален ключевой контейнер, функция возвращает true. Случай 2. Если ей передается на вход сертификат, загруженный из файла (ранее был выгружен в Der-кодировке из сертификата, установленного с сайта cryptopro на другом компьютере). То функция возвращает false. Отличие в сертификатах: при просмотре через оснастку во втором случае на первой закладке «Общие» отсутствует свойство «Есть закрытый ключ, соответствующий этому сертификату». Собственно вопросы: 1. Как влияет свойство «Есть закрытый ключ, соответствующий этому сертификату» на работу функции? 2.Почему при удалении контейнера с закрытыми ключами, свойство сохраняется? 3.Как правильно выгружать сертификат, установленного на сервере контейнера, чтобы добиться работы функции на клиентской машине после установки выгруженного сертификата?

Василий Дементьев	#2 Оставлено : 9 декабря 2009 г. 22:28:17(UTC)
Статус: Администратор Группы: Администраторы, Участники Зарегистрирован: 28.12.2007(UTC) Сообщений: 348 Откуда: ООО "КРИПТО-ПРО" Поблагодарили: 5 раз в 4 постах	Уточнение. А какое именно свойство Вы хотите получить (т.е. чему равно значение dwPropId)?
	WWW

Kirill Sobolev	#3 Оставлено : 9 декабря 2009 г. 23:36:18(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,732 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах	Если речь идет о CERT_KEY_PROV_INFO_PROP_ID, судя по вопросам, то 1. Она возвращает TRUE, соответственно заполняя структуру CRYPT_KEY_PROV_INFO. 2. Представьте, например, ситуацию со съемным носителем. 3. Вопрос не очень понятен — Вы хотите связать сертификат на клиенте с контейнером на сервере?
Техническую поддержку оказываем тут Наша база знаний
	WWW

Казакова	#4 Оставлено : 10 декабря 2009 г. 13:17:27(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 09.12.2009(UTC) Сообщений: 2	Василий Дементьев написал: Уточнение. А какое именно свойство Вы хотите получить (т.е. чему равно значение dwPropId)? dwPropId = CERT_KEY_PROV_INFO_PROP_ID

Игорь М.	#5 Оставлено : 10 декабря 2009 г. 15:00:14(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 10.12.2009(UTC) Сообщений: 2 Откуда: москва	Василий Дементьев написал: Уточнение. А какое именно свойство Вы хотите получить (т.е. чему равно значение dwPropId)? Некоторое уточнение. Нам необходимо убедиться, что сертификат предполагает использование ГОСТ-алгоритмов if(!(CertGetCertificateContextProperty( pCertContext, CERT_KEY_PROV_INFO_PROP_ID, pKeyInfo, &dwSize))) { SetErrorMessage(L»Невозможно выделить память под структуру, содержащую информацию о ключе при вторичном вызове функции.(Код ошибки — 81009)»); SetErrorCode(81009); goto done; } //——————————————- // Проверка члена dwKeySpec на расширенный ключ и типа провайдера if(!(pKeyInfo->dwKeySpec == AT_KEYEXCHANGE && pKeyInfo->dwProvType == PROV_GOST_2001_DH)) { SetErrorMessage(L»Ключ, связанный с указанным сертификатом, не является ключём для шифрования, либо не поддерживает ГОСТ.(Код ошибки — 81011)»); SetErrorCode(81011); goto done; }

Игорь М.	#6 Оставлено : 10 декабря 2009 г. 15:01:03(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 10.12.2009(UTC) Сообщений: 2 Откуда: москва	Отредактировано пользователем 10 декабря 2009 г. 15:05:47(UTC)  | Причина: Не указана

Василий Дементьев	#7 Оставлено : 10 декабря 2009 г. 15:47:39(UTC)
Статус: Администратор Группы: Администраторы, Участники Зарегистрирован: 28.12.2007(UTC) Сообщений: 348 Откуда: ООО "КРИПТО-ПРО" Поблагодарили: 5 раз в 4 постах	Для поставленной задачи вообще не нужно вызывать эту функцию. Алгоритм открытого ключа сертификата имеется в структуре pCertContext. pCertContext->pCertInfo.SubjectPublicKeyInfo.Algorithm Это поле типа CRYPT_ALGORITHM_IDENTIFIER, в котором есть строка — идентификатор алгоритма. Для алгоритмов ГОСТ и сертификатов КриптоПро CSP значение идентификатора алгоритма начинается с 1.2.643.2.2 Отредактировано пользователем 10 декабря 2009 г. 15:48:16(UTC)  | Причина: Не указана
	WWW

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

I got a sample code from MSDN (http://msdn2.microsoft.com/en-us/library/aa382363.aspx)

I generate a Win32 console application project in VisualStudio 2005 and copy the code into my main.cpp. But when I compiled it, I got the following errors:

1>Compiling…
1>main.cpp
1>.\main.cpp(55) : error C2664: ‘CertOpenSystemStoreW’ : cannot convert parameter 2 from ‘char [256]’ to ‘LPCWSTR’
1>        Types pointed to are unrelated; conversion requires reinterpret_cast, C-style cast or function-style cast
1>.\main.cpp(103) : error C2664: ‘CertGetNameStringW’ : cannot convert parameter 5 from ‘char [256]’ to ‘LPWSTR’
1>        Types pointed to are unrelated; conversion requires reinterpret_cast, C-style cast or function-style cast
1>.\main.cpp(317) : error C3861: ‘_ftprintf’: identifier not found
1>.\main.cpp(318) : error C3861: ‘_ftprintf’: identifier not found
1>.\main.cpp(319) : error C3861: ‘_ftprintf’: identifier not found
1>.\main.cpp(320) : error C3861: ‘_ftprintf’: identifier not found
1>Build log was saved at «file://d:\C++\cryptoAPI\Creating a Key Container and Generating\Creating a Key Container and Generating\Debug\BuildLog.htm»
1>Creating a Key Container and Generating — 6 error(s), 0 warning(s)
========== Build: 0 succeeded, 1 failed, 0 up-to-date, 0 skipped ==========

Does anyone have some ideas? thank you in advance!

this is the source code:

#include <stdio.h>
#include <windows.h>
#include <wincrypt.h>
#include <cryptuiapi.h>

#pragma comment (lib, «crypt32.lib»)
#pragma comment (lib, «cryptui.lib»)

#define MY_ENCODING_TYPE  (PKCS_7_ASN_ENCODING | X509_ASN_ENCODING)
void MyHandleError(char *s);

void main(void)
{

//——————————————————————-
// Copyright (c) Microsoft Corporation.  All rights reserved.
// This program lists all of the certificates in a system certificate
// store and all of the property identifier numbers of those
// certificates. It also demonstrates the use of two
// UI functions. One, CryptUIDlgSelectCertificateFromStore,
// displays the certificates in a store
// and allows the user to select one of them,
// The other, CryptUIDlgViewContext,
// displays the contents of a single certificate.

//——————————————————————-
// Declare and initialize variables.

HCERTSTORE       hCertStore;       
PCCERT_CONTEXT   pCertContext=NULL;     
char pszNameString[256];
char pszStoreName[256];
void*            pvData;
DWORD            cbData;
DWORD            dwPropId = 0;
            // Zero must be used on the first
            // call to the function. After that,
            // the last returned property identifier is passed.

//——————————————————————-
//  Begin processing and Get the name of the system certificate store
//  to be enumerated. Output here is to stderr so that the program 
//  can be run from the command line and stdout can be redirected 
//  to a file.

fprintf(stderr,»Please enter the store name:»);
fgets(pszStoreName, 256, stdin);
fprintf(stderr,»The store name is %s .\n»,pszStoreName);

//——————————————————————-
// Open a system certificate store.

if ( hCertStore = CertOpenSystemStore(
     NULL,
     pszStoreName))
{
     fprintf(stderr,»The %s store has been opened. \n»,
          pszStoreName);
}
else
{
// If the store was not opened, exit to an error routine.
     MyHandleError(«The store was not opened.»);
}

while(pCertContext= CertEnumCertificatesInStore(
     hCertStore,
     pCertContext))
{
//——————————————————————-
// A certificate was retrieved. Continue.
//——————————————————————-
//  Display the certificate.

if ( CryptUIDlgViewContext(
  CERT_STORE_CERTIFICATE_CONTEXT,
  pCertContext,
  NULL,
  NULL,
  0,
  NULL))
{
//     printf(«OK\n»);
}
else
{
    MyHandleError(«UI failed.»);
}

if(CertGetNameString(
   pCertContext,
   CERT_NAME_SIMPLE_DISPLAY_TYPE,
   0,
   NULL,
   pszNameString,
   128))
{
   printf(«\nCertificate for %s \n»,pszNameString);
}
else
   fprintf(stderr,»CertGetName failed. \n»);

//——————————————————————-
// Loop to find all of the property identifiers for the specified 
// certificate. The loop continues until
// CertEnumCertificateContextProperties returns zero.

while(dwPropId = CertEnumCertificateContextProperties(
       pCertContext, // The context whose properties are to be listed.
       dwPropId))    // Number of the last property found. 
                     // This must be zero to find the first
                     // property identifier.
{
//——————————————————————-
// When the loop is executed, a property identifier has been found.
// Print the property number.

   printf(«Property # %d found->», dwPropId);

//——————————————————————-
// Indicate the kind of property found.

   switch(dwPropId)
   {
     case CERT_FRIENDLY_NAME_PROP_ID:
     {
       printf(«Friendly name: «);
       break;
     }
     case CERT_SIGNATURE_HASH_PROP_ID:
     {
       printf(«Signature hash identifier «);
       break;
     }
     case CERT_KEY_PROV_HANDLE_PROP_ID:
     {
       printf(«KEY PROVE HANDLE»);
       break;
     }
     case CERT_KEY_PROV_INFO_PROP_ID:
     {
       printf(«KEY PROV INFO PROP ID «);
       break;
     }
     case CERT_SHA1_HASH_PROP_ID:
     {
        printf(«SHA1 HASH identifier»);
        break;
     }
     case CERT_MD5_HASH_PROP_ID:
     {
        printf(«md5 hash identifier «);
        break;
     }
     case CERT_KEY_CONTEXT_PROP_ID:
     {
        printf(«KEY CONTEXT PROP identifier»);
        break;
     }
     case CERT_KEY_SPEC_PROP_ID:
     {
        printf(«KEY SPEC PROP identifier»);
        break;
      }
      case CERT_ENHKEY_USAGE_PROP_ID:
      {
        printf(«ENHKEY USAGE PROP identifier»);
        break;
      }
      case CERT_NEXT_UPDATE_LOCATION_PROP_ID:
      {
        printf(«NEXT UPDATE LOCATION PROP identifier»);
        break;
      }
      case CERT_PVK_FILE_PROP_ID:
      {
         printf(«PVK FILE PROP identifier «);
         break;
      }
      case CERT_DESCRIPTION_PROP_ID:
      {
        printf(«DESCRIPTION PROP identifier «);
        break;
      }
      case CERT_ACCESS_STATE_PROP_ID:
      {
        printf(«ACCESS STATE PROP identifier «);
        break;
      }
      case CERT_SMART_CARD_DATA_PROP_ID:
      {
         printf(«SMART_CARD DATA PROP identifier «);
         break;
      }
      case CERT_EFS_PROP_ID:
      {
        printf(«EFS PROP identifier «);
        break;
      }
      case CERT_FORTEZZA_DATA_PROP_ID:
      {
        printf(«FORTEZZA DATA PROP identifier «);
        break;
      }
      case CERT_ARCHIVED_PROP_ID:
      {
        printf(«ARCHIVED PROP identifier «);
        break;
      }
      case CERT_KEY_IDENTIFIER_PROP_ID:
      {
        printf(«KEY IDENTIFIER PROP identifier «);
        break;
      }
      case CERT_AUTO_ENROLL_PROP_ID:
      {
        printf(«AUTO ENROLL identifier. «);
        break;
      }
   } // End switch.

//——————————————————————-
// Retrieve information on the property by first getting the
// property size.
// For more information, see CertGetCertificateContextProperty.

//——————————————————————-
// Select a new certificate by using the user interface.

if(!(pCertContext = CryptUIDlgSelectCertificateFromStore(
  hCertStore,
  NULL,
  NULL,
  NULL,
  CRYPTUI_SELECT_LOCATION_COLUMN,
  0,
  NULL)))
{
    MyHandleError(«Select UI failed.» );
}

//——————————————————————-
// Clean up.

CertFreeCertificateContext(pCertContext);
CertCloseStore(hCertStore,0);
printf(«The function completed successfully. \n»);
} // End of main.

void MyHandleError(LPTSTR psz)
{
    _ftprintf(stderr, TEXT(«An error occurred in the program. \n»));
    _ftprintf(stderr, TEXT(«%s\n»), psz);
    _ftprintf(stderr, TEXT(«Error number %x.\n»), GetLastError());
    _ftprintf(stderr, TEXT(«Program terminating. \n»));
    exit(1);
} // End of MyHandleError.

I tried to get EC private key from cert which in certificate store by CNG API. First, I call CertGetCertificateContextProperty() to get private key handle with CERT_KEY_CONTEXT_PROP_ID property, but it always return false. I’m sure that the cert has private key.

Code:

    wchar_t                 wMY_CERT_NAME[100];
    HCERTSTORE              hCertStore = NULL;
    PCCERT_CONTEXT          pSignerCert = NULL;
    NCRYPT_KEY_HANDLE       hKey = NULL;
    const int buffsize = 4999;
    DWORD len = buffsize;
    char buff[buffsize];

    // Open the certificate store.
    if (!(hCertStore = CertOpenStore(
        CERT_STORE_PROV_SYSTEM,
        0,
        NULL,
        CERT_SYSTEM_STORE_CURRENT_USER,
        CERT_STORE_NAME)))
    {
        MyHandleError(const_cast<LPTSTR>("The MY store could not be opened."));
    }

    swprintf(wMY_CERT_NAME, 100, L"%hs", MY_CERT_NAME);

    if (pSignerCert = CertFindCertificateInStore(
        hCertStore,
        MY_ENCODING_TYPE,
        0,
        CERT_FIND_SUBJECT_STR,
        wMY_CERT_NAME,
        NULL))
    {
        //continue
    }

    if (CertGetCertificateContextProperty(
        pSignerCert,
        CERT_KEY_CONTEXT_PROP_ID,
        buff,
        &len))
    {
        auto ckc = (CERT_KEY_CONTEXT *)buff;
        hKey = ckc->hNCryptKey;
    }
    else {
        wprintf(L"**** GetCertContextProperty failed.\n");
    }

Then, I tried to do the same step but read from a .pfx file like this page. It return true and get private key successfully. Why cert in certificate store doesn’t have CERT_KEY_CONTEXT_PROP_ID property?