使用Microsoft CryptoAPI,我已经生成了一个新的RSA密钥对,并且现在正试图将私钥导出到PKCS#8加密(受密码保护)的PEM文件。如何使用MS CryptoAPI导出受密码保护的私钥?
我首先研究了CryptExportPKCS8()和CryptExportPKCS8Ex(),但前者不支持加密密钥,后者是not exported by crypt32.dll。 MSDN说这两个函数都被弃用了。
我现在的尝试是通过从密码到CryptExportKey(衍生)会话密钥:()
HCRYPTPROV provider;
BOOL result = CryptAcquireContext(&provider, CONTAINER_NAME, MS_ENHANCED_PROV, PROV_RSA_FULL, CRYPT_NEWKEYSET | CRYPT_SILENT);
HCRYPTKEY keyPair;
result = CryptGenKey(provider, CALG_RSA_KEYX, (2048 << 16) | CRYPT_EXPORTABLE, &keyPair);
HCRYPTHASH hash;
result = CryptCreateHash(provider, CALG_SHA1, 0, 0, &hash);
const char *password = "password";
result = CryptHashData(hash, (const BYTE *)password, strlen(password), 0);
HCRYPTKEY sessionKey;
result = CryptDeriveKey(provider, CALG_3DES, hash, CRYPT_EXPORTABLE, &sessionKey);
DWORD blobSize;
result = CryptExportKey(keyPair, sessionKey, PRIVATEKEYBLOB, 0, NULL, &blobSize);
BYTE *blobBytes = new BYTE[blobSize];
result = CryptExportKey(keyPair, sessionKey, PRIVATEKEYBLOB, 0, blobBytes, &blobSize);
DWORD derSize;
// This throws "First-chance exception ... Access violation reading ..." and returns FALSE
result = CryptEncodeObjectEx(X509_ASN_ENCODING | PKCS_7_ASN_ENCODING, PKCS_RSA_PRIVATE_KEY, blobBytes, 0, NULL, NULL, &derSize);
// error is 3221225477 (0xC0000005)
DWORD error = GetLastError();
BYTE *derBytes = new BYTE[derSize];
result = CryptEncodeObjectEx(X509_ASN_ENCODING | PKCS_7_ASN_ENCODING, PKCS_RSA_PRIVATE_KEY, blobBytes, 0, NULL, derBytes, &derSize);
// ... CryptBinaryToString() to convert to PEM
// ... Write PEM to file
所有呼叫成功,直到评论CryptEncodeObjectEx。
如果我没有将会话密钥传递给CryptExportKey(),那么我可以成功地使用CryptEncodeObjectEx()来对私钥进行编码,但显然它是纯文本的。
如何导出受密码保护的私钥?我推导会话密钥的方式有什么问题吗? PKCS_RSA_PRIVATE_KEY是错误的编码类型吗?
我已经在Visual Studio 2013在Windows 7
pvEncoded是什么格式? 'openssl asn1parse -inform DER -in test.der'显示有效的ASN.1,但'openssl pkcs8 -inform DER -in test.der'给出'未知的pbe算法:evp_pbe.c:162:TYPE = des-ede3-cbc '。 –