Вопрос по поводу структур CERT_RDN_ATTR и CERT

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

3 Страницы<123 >

Вопрос по поводу структур CERT_RDN_ATTR и CERT_RDN

Опции

Предыдущая тема Следующая тема

Aqel		#11 Оставлено : 11 января 2022 г. 17:31:19(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 07.11.2018(UTC) Сообщений: 8 Откуда: Пермь Сказал «Спасибо»: 2 раз		Вот переделал, всё компилится (код без проверки ошибок), но данные сохраняемые в запросе: NUL и в конце что то кодирование... Цитата: var nameAttr: CERT_RDN_ATTR; nameString: PChar; rdn: CERT_RDN; nameInfo: CERT_NAME_INFO; certReqInfo: CERT_REQUEST_INFO; subjNameBlob: CERT_NAME_BLOB; encNameLen: DWORD; encName: PBYTE; prov: HCRYPTPROV; pubKeyInfoLen: DWORD; pubKeyInfo: PCERT_PUBLIC_KEY_INFO; encCertReqLen: DWORD; params: CRYPT_OBJID_BLOB; sigAlg: CRYPT_ALGORITHM_IDENTIFIER; signedEncCertReq: PBYTE; cont: PChar; err: string; encType: DWORD; f: file; CertRDN: array [0 .. 5] of CERT_RDN_ATTR; begin encType := PKCS_7_ASN_ENCODING or X509_ASN_ENCODING; {nameString := StrAlloc(length(LabeledEdit1.Text) + 1); StrPCopy(nameString, LabeledEdit1.Text); nameAttr.pszObjId := '2.5.4.3'; nameAttr.dwValueType := CERT_RDN_UTF8_STRING; // CERT_RDN_PRINTABLE_STRING nameAttr.Value.cbData := length(LabeledEdit1.Text); nameAttr.Value.pbData := PBYTE(nameString); rdn.cRDNAttr := 1; rdn.rgRDNAttr := @nameAttr; nameInfo.cRDN := 1; nameInfo.rgRDN := @rdn; } CertRDN[0].pszObjId := '2.5.4.3'; // Имя CertRDN[0].dwValueType := CERT_RDN_UTF8_STRING; CertRDN[0].Value.cbData := length(LabeledEdit1.Text); CertRDN[0].Value.pbData := PBYTE(StrAlloc(length(LabeledEdit1.Text) + 1)); CertRDN[1].pszObjId := '2.5.4.6'; // Страна CertRDN[1].dwValueType := CERT_RDN_PRINTABLE_STRING; CertRDN[1].Value.cbData := 2; CertRDN[1].Value.pbData := PBYTE(StrAlloc(length(LabeledEdit6.Text) + 1)); CertRDN[2].pszObjId := '2.5.4.13'; // Инфо CertRDN[2].dwValueType := CERT_RDN_UTF8_STRING; CertRDN[2].Value.cbData := length(LabeledEdit1.Text); CertRDN[2].Value.pbData := PBYTE(StrAlloc(length(LabeledEdit1.Text) + 1)); CertRDN[3].pszObjId := '2.5.4.11'; // Подразделение CertRDN[3].dwValueType := CERT_RDN_UTF8_STRING; CertRDN[3].Value.cbData := length(LabeledEdit3.Text); CertRDN[3].Value.pbData := PBYTE(StrAlloc(length(LabeledEdit3.Text) + 1)); CertRDN[4].pszObjId := '2.5.4.10'; // Организация CertRDN[4].dwValueType := CERT_RDN_UTF8_STRING; CertRDN[4].Value.cbData := length(LabeledEdit2.Text); CertRDN[4].Value.pbData := PBYTE(StrAlloc(length(LabeledEdit2.Text) + 1)); CertRDN[5].pszObjId := '2.5.4.7'; // Город CertRDN[5].dwValueType := CERT_RDN_UTF8_STRING; CertRDN[5].Value.cbData := length(LabeledEdit5.Text); CertRDN[5].Value.pbData := PBYTE(StrAlloc(length(LabeledEdit5.Text) + 1)); rdn.cRDNAttr := 6; rdn.rgRDNAttr := @CertRDN; nameInfo.cRDN := 6; nameInfo.rgRDN := @rdn; GetMem(encName, encNameLen); subjNameBlob.cbData := encNameLen; subjNameBlob.pbData := encName; certReqInfo.Subject := subjNameBlob; certReqInfo.cAttribute := 0; certReqInfo.rgAttribute := nil; certReqInfo.dwVersion := CERT_REQUEST_V1; GetMem(pubKeyInfo, pubKeyInfoLen); certReqInfo.SubjectPublicKeyInfo := pubKeyInfo^; FillChar(params, sizeof(params), 0); sigAlg.pszObjId := szOID_OIWSEC_sha1RSASign; sigAlg.Parameters := params; GetMem(signedEncCertReq, encCertReqLen); if SaveDialog1.Execute then begin AssignFile(f, SaveDialog1.FileName); Rewrite(f, 1); BlockWrite(f, signedEncCertReq^, encCertReqLen); CloseFile(f); end; StrDispose(StrAlloc(length(LabeledEdit1.Text) + 1)); FreeMem(encName, encNameLen); FreeMem(pubKeyInfo, pubKeyInfoLen); FreeMem(signedEncCertReq, encCertReqLen); ...
		Всё намного проще, чем есть на самом деле...
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

two_oceans		#12 Оставлено : 13 января 2022 г. 13:41:25(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах		Многобукв. А если серьезно, то меня терзают сомнения после чтения справки там они говоря не о массиве структур, а о массиве указателей на структуры. Возможно придется объявить новый массив x заполнить указателями на соответствующие элементы certRDN и передать указатель на массив указателей?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Aqel		#13 Оставлено : 18 января 2022 г. 17:07:11(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 07.11.2018(UTC) Сообщений: 8 Откуда: Пермь Сказал «Спасибо»: 2 раз		two_oceans Букв то не много (мне вот нужны все эти параметры), а вот как с указателями это оформить?
		Всё намного проще, чем есть на самом деле...
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

two_oceans		#14 Оставлено : 19 января 2022 г. 6:07:54(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах		Автор: Aqel two_oceans Букв то не много (мне вот нужны все эти параметры), а вот как с указателями это оформить? Если принять предположение из сообщения выше, что это массивы указателей, то как-то так: Код: var ... CertRDNPtr:array[0..5]of pointer; // по идее pCERT_RDN_ATTR, но обобщенно подойдет pointer rdnptr:array[0..0]of pointer; // по идее pCERT_RDN, но обобщенно подойдет pointer ... CertRDN[0].pszObjId := '2.5.4.3'; // Имя CertRDN[0].dwValueType := CERT_RDN_UTF8_STRING; CertRDN[0].Value.cbData := length(LabeledEdit1.Text); CertRDN[0].Value.pbData := PBYTE(StrAlloc(length(LabeledEdit1.Text) + 1)); CertRDNPtr[0]:=@(CertRDN[0]); // повторить для каждого элемента ... rdn.rgRDNAttr := @CertRDNPtr; rdnptr[0]:= @rdn; nameInfo.rgRDN := @rdnptr; ... Кстати, 1) в закомментированном фрагменте кроме StrAlloc были ещё и вызовы StrPCopy, а потом их нет - в структуру CertRDN[0] данные вообще попадают? Не пробовали вывести содержимое? 2) Что-то я вообще не уловил где потом nameInfo в процитированном коде используется? Хотел попробовать воспроизвести задачу, но приведенного фрагмента кода явно недостаточно. Отредактировано пользователем 19 января 2022 г. 6:09:10(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Aqel		#15 Оставлено : 19 января 2022 г. 20:11:43(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 07.11.2018(UTC) Сообщений: 8 Откуда: Пермь Сказал «Спасибо»: 2 раз		Вот весь код кнопки: Цитата: procedure TForm1.Button3Click(Sender: TObject); var nameAttr: CERT_RDN_ATTR; nameString: PChar; rdn: CERT_RDN; nameInfo: CERT_NAME_INFO; certReqInfo: CERT_REQUEST_INFO; subjNameBlob: CERT_NAME_BLOB; encNameLen: DWORD; encName: PBYTE; prov: HCRYPTPROV; pubKeyInfoLen: DWORD; pubKeyInfo: PCERT_PUBLIC_KEY_INFO; encCertReqLen: DWORD; params: CRYPT_OBJID_BLOB; sigAlg: CRYPT_ALGORITHM_IDENTIFIER; signedEncCertReq: PBYTE; cont: PChar; err: string; encType: DWORD; f: file; CertRDN: array [0 .. 5] of CERT_RDN_ATTR; CertRDNPtr: array [0 .. 5] of pointer; rdnptr: array [0 .. 0] of pointer; begin encType := PKCS_7_ASN_ENCODING or X509_ASN_ENCODING; { nameString := StrAlloc(length(LabeledEdit1.Text) + 1); StrPCopy(nameString, LabeledEdit1.Text); nameAttr.pszObjId := '2.5.4.3'; nameAttr.dwValueType := CERT_RDN_UTF8_STRING; // CERT_RDN_PRINTABLE_STRING nameAttr.Value.cbData := length(LabeledEdit1.Text); nameAttr.Value.pbData := PBYTE(nameString); rdn.cRDNAttr := 1; rdn.rgRDNAttr := @nameAttr; nameInfo.cRDN := 1; nameInfo.rgRDN := @rdn; } nameString := StrAlloc(length(LabeledEdit1.Text) + 1); StrPCopy(nameString, LabeledEdit1.Text); CertRDN[0].pszObjId := '2.5.4.3'; // Имя CertRDN[0].dwValueType := CERT_RDN_UTF8_STRING; CertRDN[0].Value.cbData := length(LabeledEdit1.Text); CertRDN[0].Value.pbData := PBYTE(nameString); CertRDNPtr[0] := @(CertRDN[0]); nameString := StrAlloc(length(LabeledEdit6.Text) + 1); StrPCopy(nameString, LabeledEdit6.Text); CertRDN[1].pszObjId := '2.5.4.6'; // Страна CertRDN[1].dwValueType := CERT_RDN_PRINTABLE_STRING; CertRDN[1].Value.cbData := 2; CertRDN[1].Value.pbData := PBYTE(nameString); CertRDNPtr[1] := @(CertRDN[1]); nameString := StrAlloc(length(LabeledEdit5.Text) + 1); StrPCopy(nameString, LabeledEdit5.Text); CertRDN[2].pszObjId := '2.5.4.7'; // Город CertRDN[2].dwValueType := CERT_RDN_UTF8_STRING; CertRDN[2].Value.cbData := length(LabeledEdit5.Text); CertRDN[2].Value.pbData := PBYTE(nameString); CertRDNPtr[2] := @(CertRDN[2]); nameString := StrAlloc(length(LabeledEdit2.Text) + 1); StrPCopy(nameString, LabeledEdit2.Text); CertRDN[3].pszObjId := '2.5.4.10'; // Организация CertRDN[3].dwValueType := CERT_RDN_UTF8_STRING; CertRDN[3].Value.cbData := length(LabeledEdit2.Text); CertRDN[3].Value.pbData := PBYTE(nameString); CertRDNPtr[3] := @(CertRDN[3]); nameString := StrAlloc(length(LabeledEdit3.Text) + 1); StrPCopy(nameString, LabeledEdit3.Text); CertRDN[4].pszObjId := '2.5.4.11'; // Подразделение CertRDN[4].dwValueType := CERT_RDN_UTF8_STRING; CertRDN[4].Value.cbData := length(LabeledEdit3.Text); CertRDN[4].Value.pbData := PBYTE(nameString); CertRDNPtr[4] := @(CertRDN[4]); nameString := StrAlloc(length(LabeledEdit1.Text) + 1); StrPCopy(nameString, LabeledEdit1.Text); CertRDN[5].pszObjId := '2.5.4.13'; // Инфо CertRDN[5].dwValueType := CERT_RDN_UTF8_STRING; CertRDN[5].Value.cbData := length(LabeledEdit1.Text); CertRDN[5].Value.pbData := PBYTE(nameString); CertRDNPtr[5] := @(CertRDN[5]); rdn.rgRDNAttr := @CertRDNPtr; rdnptr[0] := @rdn; nameInfo.rgRDN := @rdnptr; subjNameBlob.cbData := encNameLen; subjNameBlob.pbData := encName; certReqInfo.Subject := subjNameBlob; certReqInfo.cAttribute := 0; certReqInfo.rgAttribute := nil; certReqInfo.dwVersion := CERT_REQUEST_V1; if length(LabeledEdit10.Text) = 0 then cont := nil else begin err := LabeledEdit10.Text; cont := StrAlloc(length(err) + 1); StrPCopy(cont, err); end; if not CryptAcquireContext(prov, cont, nil, PROV_RSA_FULL, 0) then begin case int64(GetLastError) of ERROR_INVALID_PARAMETER: err := 'ERROR_INVALID_PARAMETER'; ERROR_NOT_ENOUGH_MEMORY: err := 'ERROR_NOT_ENOUGH_MEMORY'; NTE_BAD_FLAGS: err := 'NTE_BAD_FLAGS'; NTE_BAD_KEYSET: err := 'NTE_BAD_KEYSET'; NTE_BAD_KEYSET_PARAM: err := 'NTE_BAD_KEYSET_PARAM'; NTE_BAD_PROV_TYPE: err := 'NTE_BAD_PROV_TYPE'; NTE_BAD_SIGNATURE: err := 'NTE_BAD_SIGNATURE'; NTE_EXISTS: err := 'NTE_EXISTS'; NTE_KEYSET_ENTRY_BAD: err := 'NTE_KEYSET_ENTRY_BAD'; NTE_KEYSET_NOT_DEF: err := 'NTE_KEYSET_NOT_DEF'; NTE_NO_MEMORY: err := 'NTE_NO_MEMORY'; NTE_PROV_DLL_NOT_FOUND: err := 'NTE_PROV_DLL_NOT_FOUND'; NTE_PROV_TYPE_ENTRY_BAD: err := 'NTE_PROV_TYPE_ENTRY_BAD'; NTE_PROV_TYPE_NO_MATCH: err := 'NTE_PROV_TYPE_NO_MATCH'; NTE_PROV_TYPE_NOT_DEF: err := 'NTE_PROV_TYPE_NOT_DEF'; NTE_PROVIDER_DLL_FAIL: err := 'NTE_PROVIDER_DLL_FAIL'; NTE_SIGNATURE_FILE_BAD: err := 'NTE_SIGNATURE_FILE_BAD'; else err := 'Unknown error'; end; MessageDlg('Ошибка создания контейнера: ' + err, mtError, [mbOK], 0); StrDispose(nameString); FreeMem(encName, encNameLen); if cont <> nil then StrDispose(cont); exit; end; if not CryptExportPublicKeyInfo(prov, AT_SIGNATURE, encType, nil, pubKeyInfoLen) then begin MessageDlg('Ошибка экспорта открытого ключа', mtError, [mbOK], 0); StrDispose(nameString); FreeMem(encName, encNameLen); if cont <> nil then StrDispose(cont); exit; end; GetMem(pubKeyInfo, pubKeyInfoLen); if not CryptExportPublicKeyInfo(prov, AT_SIGNATURE, encType, pubKeyInfo, pubKeyInfoLen) then begin MessageDlg('Ошибка экспорта открытого ключа', mtError, [mbOK], 0); StrDispose(nameString); FreeMem(encName, encNameLen); if cont <> nil then StrDispose(cont); FreeMem(pubKeyInfo, pubKeyInfoLen); exit; end; certReqInfo.SubjectPublicKeyInfo := pubKeyInfo^; FillChar(params, sizeof(params), 0); sigAlg.pszObjId := szOID_OIWSEC_sha1RSASign; sigAlg.Parameters := params; if not CryptSignAndEncodeCertificate(prov, AT_SIGNATURE, encType, X509_CERT_REQUEST_TO_BE_SIGNED, @certReqInfo, @sigAlg, nil, nil, encCertReqLen) then begin MessageDlg('Ошибка получения длины подписанного запроса', mtError, [mbOK], 0); StrDispose(nameString); FreeMem(encName, encNameLen); if cont <> nil then StrDispose(cont); FreeMem(pubKeyInfo, pubKeyInfoLen); exit; end; GetMem(signedEncCertReq, encCertReqLen); if not CryptSignAndEncodeCertificate(prov, AT_SIGNATURE, encType, X509_CERT_REQUEST_TO_BE_SIGNED, @certReqInfo, @sigAlg, nil, signedEncCertReq, encCertReqLen) then begin MessageDlg('Ошибка получения подписанного запроса', mtError, [mbOK], 0); StrDispose(nameString); FreeMem(encName, encNameLen); if cont <> nil then StrDispose(cont); FreeMem(pubKeyInfo, pubKeyInfoLen); FreeMem(signedEncCertReq, encCertReqLen); exit; end; SaveDialog1.Title := 'Укажите файл для сохранения запроса'; SaveDialog1.Filter := 'Файл запроса\|*.p10'; SaveDialog1.DefaultExt := '.p10'; if SaveDialog1.Execute then begin AssignFile(f, SaveDialog1.FileName); Rewrite(f, 1); BlockWrite(f, signedEncCertReq^, encCertReqLen); CloseFile(f); end; StrDispose(nameString); FreeMem(encName, encNameLen); if cont <> nil then StrDispose(cont); FreeMem(pubKeyInfo, pubKeyInfoLen); FreeMem(signedEncCertReq, encCertReqLen); if not CryptReleaseContext(prov, 0) then begin MessageDlg('Ошибка освобождения контекста', mtError, [mbOK], 0); end; end;
		Всё намного проще, чем есть на самом деле...
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

two_oceans		#16 Оставлено : 20 января 2022 г. 7:21:03(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах		Для справки - какой модуль для работы с CryptoApi используете? jwawincrypt? Все равно в исходнике, чего-то не хватает. Как будто между строками есть еще что-то. Код: `nameInfo.rgRDN := @rdnptr; subjNameBlob.cbData := encNameLen; subjNameBlob.pbData := encName;` UPDATE: Действительно. При попытке найти что можно сделать с CERT_NAME_INFO выдало примеры создания запроса на сертификат и CryptEncodeObject. https://docs.microsoft.c...ng-a-certificate-request http://citforum.ru/security/articles/delphi/ По поводу обработки ошибок (не обязательно конечно, но совет как удобно): у меня используются 2 функции, которые принимают булевый параметр и строку сообщения и возвращают этот же булевый параметр, но если он ложен, то одна функция разбирает GetLastError и пишет в лог или stderr детали ошибки, вторая просто заглушка и ничего не делает. Оборачиваю вызовы CryptoApi в эти функции и легким изменением имени функции CryptCheck_ на CryptCheck получаю лог по определенной функции. Так не потребуется громоздкое описание всех NTSTATUS для каждого вызова. Код: type ptext=^text; var log:ptext; procedure ErrorDesc(c:cardinal;var desc:shortstring); begin case c of 0:desc:='OK'; 5916:desc:='Illegal CSP Request'; // Provider present but not linked with cryptoapi? // empty string as container name (provtp=90) - use nil instead? $80090001:desc:='NTE_BAD_UID'; $80090002:desc:='NTE_BAD_HASH'; $80090003:desc:='NTE_BAD_KEY'; $80090004:desc:='NTE_BAD_LEN'; $80090005:desc:='NTE_BAD_DATA'; $80090006:desc:='NTE_BAD_SIGNATURE'; // AcquireContext: error when csp check container or error when csp DLL loading // VerifySignature: math calculation incorrect $80090007:desc:='NTE_BAD_VER'; $80090008:desc:='NTE_BAD_ALGID';// Invalid algorithm specified // wrong hprov/provtp for digest creation $80090009:desc:='NTE_BAD_FLAGS'; $8009000A:desc:='NTE_BAD_TYPE'; $8009000B:desc:='NTE_BAD_KEY_STATE'; $8009000C:desc:='NTE_BAD_HASH_STATE'; $8009000D:desc:='NTE_NO_KEY';// Key not exists $8009000E:desc:='NTE_NO_MEMORY'; $8009000F:desc:='NTE_EXISTS'; $80090010:desc:='NTE_PERM'; // Access denied $80090011:desc:='NTE_NOT_FOUND'; $80090012:desc:='NTE_DOUBLE_ENCRYPT'; $80090013:desc:='NTE_BAD_PROVIDER'; $80090014:desc:='NTE_BAD_PROV_TYPE'; // ProvTp out of range (1..999) $80090015:desc:='NTE_BAD_PUBLIC_KEY'; $80090016:desc:='NTE_BAD_KEYSET'; // container can't be opened $80090017:desc:='NTE_PROV_TYPE_NOT_DEF'; // ProvTp not registered (NTE_PROV_TYPE_ENTRY_BAD 0x80090018 Provider type as registered is invalid. NTE_KEYSET_NOT_DEF 0x80090019 The keyset is not defined. NTE_KEYSET_ENTRY_BAD 0x8009001A Keyset as registered is invalid. NTE_PROV_TYPE_NO_MATCH 0x8009001B Provider type does not match registered value. NTE_SIGNATURE_FILE_BAD 0x8009001C The digital signature file is corrupt. ) $8009001D:desc:='NTE_PROVIDER_DLL_FAIL'; $8009001E:desc:='NTE_PROV_DLL_NOT_FOUND'; (NTE_BAD_KEYSET_PARAM 0x8009001F The Keyset parameter is invalid. NTE_FAIL 0x80090020 An internal error occurred. NTE_SYS_ERR 0x80090021 A base error occurred. NTE_SILENT_CONTEXT 0x80090022 Provider could not perform the action since the context was acquired as silent. NTE_TOKEN_KEYSET_STORAGE_FULL 0x80090023 The security token does not have storage space available for an additional container. NTE_TEMPORARY_PROFILE 0x80090024 The profile for the user is a temporary profile. NTE_FIXEDPARAMETER 0x80090025 The key parameters could not be set because the CSP uses fixed parameters. NTE_INVALID_HANDLE 0x80090026 The supplied handle is invalid. NTE_INVALID_PARAMETER 0x80090027 The parameter is incorrect. NTE_BUFFER_TOO_SMALL 0x80090028 The buffer supplied to a function was too small. NTE_NOT_SUPPORTED 0x80090029 The requested operation is not supported. NTE_NO_MORE_ITEMS 0x8009002A No more data is available. NTE_BUFFERS_OVERLAP 0x8009002B The supplied buffers overlap incorrectly. NTE_DECRYPTION_FAILURE 0x8009002C The specified data could not be decrypted. NTE_INTERNAL_ERROR 0x8009002D An internal consistency check failed. NTE_UI_REQUIRED 0x8009002E This operation requires input from the user. NTE_HMAC_NOT_SUPPORTED 0x8009002F The cryptographic provider does not support HMAC. NTE_DEVICE_NOT_READY 0x80090030 The device that is required by this cryptographic provider is not ready for use. NTE_AUTHENTICATION_IGNORED 0x80090031 The dictionary attack mitigation is triggered and the provided authorization was ignored by the provider. NTE_VALIDATION_FAILED 0x80090032 The validation of the provided data failed the integrity or signature validation. NTE_INCORRECT_PASSWORD 0x80090033 Incorrect password. NTE_ENCRYPTION_FAILURE 0x80090034 Encryption failed.) $80092004:desc:='CRYPT_E_NOT_FOUND'; else desc:=''; end; end; function CryptCheck(a:longbool;b:shortstring):longbool; var c:cardinal;desc:shortstring; begin desc:=''; c:=GetLastError(); ErrorDesc(c,desc); if (b='CryptVerifySignature')or(c<>0)or(not a) then begin if a then begin // логирую успех CryptVerifySignature, ненулевые GetLastError writeln(log^,b,' ',a,': ',c,' ',IntToHex(c,8),' ',desc); end else begin // логирую ошибки writeln(log^,b,' ',a,': ',c,' ',IntToHex(c,8),' ',desc); end; end; CryptCheck:=a; end; function CryptCheck_(a:longbool;b:shortstring):longbool; //if not need debug specific function begin b:='';{$ifdef HintDis}write(log^,b);{$endif} CryptCheck_:=a; end; ... // пример вызова log:=@stderr; ... if not CryptCheck(CryptSignHash(...), 'CryptSignHash') then ...; ... Отредактировано пользователем 20 января 2022 г. 11:09:46(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

two_oceans		#17 Оставлено : 20 января 2022 г. 12:11:35(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах		Итак, воспроизвел пример - кодирование имени вроде как проходит нормально. Код: `rdn.cRDNAttr:= 6; rdn.rgRDNAttr := @CertRDN; nameInfo.cRDN := 1; nameInfo.rgRDN := @rdn; encNameLen:=0; if CryptCheck(CryptEncodeObject(enctype ,X509_NAME, @nameInfo, nil, encNameLen),'CryptEncodeObject GetLen') then begin subjNameBlob.pbData:=GetMem(encNameLen); if CryptCheck(CryptEncodeObject(enctype, X509_NAME, @nameInfo, subjNameBlob.pbData, encNameLen),'CryptEncodeObject GetData') then begin subjNameBlob.cbData := encNameLen; //subjNameBlob.pbData := encName; end; //FreeMem(encName); end;` Кодировка подошла - Юникод. Вариант с дополнительными массивами указателей CertRDNPtr rdnptr выдал ошибку доступа к памяти. Прошу прощения за то, что ввел в заблуждение. Пустой буфер после кодирования данных у меня записывался в случае преждевременного освобождения памяти encName до момента записи, так как ни subjNameBlob.pbData := encName ни certReqInfo.Subject := subjNameBlob; не создает новый буфер, а копируют указатель на буфер encName. Далее закономерно вылезла ошибка что нужно нормальное имя контейнера. Для существующего от КриптоПро заменил AT_SIGNATURE и PROV_RSA_FULL, так как у меня AT_KEYEXCHANGE и тип провайдера 80. Пин-код запрошен через штатное окошко криптопровайдера. Следующая ошибка на алгоритме подписания запроса. Подсмотрел в существующем запросе Код: `sigAlg.pszObjId := '1.2.643.7.1.1.3.2';` Файл test.p10 записан успешно. Победа! Дальше надо дорабатывать с атрибутами имени (не вижу региона, ФИО, СНИЛС и т.д.) и расширениями запроса (вроде того какое СКЗИ и т.п.). Отредактировано пользователем 20 января 2022 г. 13:10:33(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Aqel		#18 Оставлено : 20 января 2022 г. 16:48:50(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 07.11.2018(UTC) Сообщений: 8 Откуда: Пермь Сказал «Спасибо»: 2 раз		Да JwaWinCrypt (+ ему ещё нужен JwaBaseTypes)
		Всё намного проще, чем есть на самом деле...
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Aqel		#19 Оставлено : 4 марта 2022 г. 12:18:16(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 07.11.2018(UTC) Сообщений: 8 Откуда: Пермь Сказал «Спасибо»: 2 раз		Вопрос, а можно обойтись без запроса? Просто сразу создать сертификат с заданными данными?
		Всё намного проще, чем есть на самом деле...
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

two_oceans		#20 Оставлено : 10 марта 2022 г. 0:26:04(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах		Цитата: а можно обойтись без запроса? Просто сразу создать сертификат с заданными данными? Добрый день. Если речь про API, затрудняюсь точно сказать, но думается от RDN не уйти все равно. В теории можно пропустить шаг создания запроса, но только если выполняется одно из двух: 1) сойдет и самоподписанный сертификат. На практике же это та еще морока каждому клиенту прописывать каждый такой сертификат в доверенные. Плюс некоторые приложения (браузеры в особенности) "умные" и все равно блокируют самоподписанные сертификаты (без роли УЦ и/или с ролями, типичными для конечного сертификата), то есть приходится еще и разрешать индивидуально для каждого профиля браузера на компьютере. В общем, несмотря на простоту получения не советую, но напишу как создать для полноты. Минимальная утилита selfcert/makecert как правило идет в комплекте Microsoft Office, но есть и статьи с задачами вроде подписания драйверов со ссылкой только на утилиту и смежные утилиты (из различных гигабайтних SDK выбраны утилиты на несколько килобайт). Минус - RDN в selfcert сильно упрощен, selfcert/makecert ключ неэкспортируемый по умолчанию. Экспортируемый сделать можно указав makecert параметры командной строки, но выгружается в совершенно диком формате, который придется переконвертировать в нормальный pfx теми самыми утилитами из SDK. Есть утилиты от КриптоПро, насколько помню csptest может самоподписанный сертификат сделать, но придется сильно заморочиться если в названии есть кавычки. В особо жестких случаях для одной кавычки в RDN может потребоваться шесть кавычек в командной строке. Аналогично openssl req имеет опцию -x509 сразу создающую самоподписанный сертификат вместо запроса. Стандартный RDN указывается в конфиге (можно создать такой конфиг что почти не будет отличаться от квалифицированного сертификата - у меня не вышло пока только задать формат NUMERIC String для ИНН/ОГРН/СНИЛС, но если честно не все аккредитованные до прошлого года УЦ это делали, по текущей аккредитации глубоко не смотрел), но далее в консоли в диалоговом режиме можно подправить RDN. Есть возможность вводить сразу в UTF-8 (то есть не маяться с кириллицей в 866 кодировке или с перекодированием как в Паскале), указывать Subject Alternative Name. Через gostengy есть поддержка ключей гост-2012 в контейнерах Криптопро (сгенерировать ключ правда не выйдет, только использовать уже существующий контейнер). Еще способ - после создания запроса в хранилище сертификатов "запросы заявок на сертификат" появляется этот запрос в виде самоподписанного сертификата - экспортировать оттуда. 2) есть свой УЦ (то есть самоподписанный сертификат с ролью УЦ) (и желательно делаете новый сертификат на компьютере, где этот УЦ, то есть по API доступен ключ УЦ). В этом случае добавили сертификат своего УЦ в доверенные и какое-то время он будет работать. Опять же дело в том что приложения "умные" и могут ограничивать список УЦ. По поводу пользования: к примеру, есть, Microsoft CA как часть Windows Server, при использовании в домене все достаточно автоматизировано и можно запросить сертификат через остнастку "сертификаты" (по умолчанию там конечно не совсем то - имя пользователя или имя компьютера, но можно развернуть нужный тип запроса и нажать "свойства", настроить RDN либо криптопровайдер либо длину ключа), для простенького сертификата сойдет и 2003 версия. Запрос все же будет, но "внутри", незаметно. openssl и csptest также могут исполнять функции импровизированного УЦ. Аналогично, запрос будет, но можно автоматизировать и будет незаметно. В случае же передачи во внешний УЦ без явного запроса обойтись сложно. Отредактировано пользователем 10 марта 2022 г. 0:34:51(UTC) \| Причина: Не указана

1 пользователь поблагодарил two_oceans за этот пост.		Aqel оставлено 10.03.2022(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest (2)

3 Страницы<123 >

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close