CSP學習之CryptoAPI初識

Crypto API目的就是提供開發者在windows下使用PKI的編程接口。

Crypto 提供了很多的加解密相關函數，如編碼、解碼、加密解密，哈希，數字證書、證書管理證書存儲等、

 

 

 

有關加密的API的國際標准

（1）GSS-API （Generic Security Services API）

（2）CDSA

（3）RSA PKCS#11

（4）微軟CryptoAPI

 

微軟的CryptoAPI是Win32平台下為應用程序開發者提供的數據加解密和安全的編程接口。

包含了：

1、基本的ASN.1編碼 解碼 散列

2、數據加解密

3、數字證書等

 

 

在不安全的網絡上進行安全的數據傳輸涉及3個方面：

1、信息隱藏                 數據加解密

2、身份鑒別                數字簽名和驗簽  數字證書

3、完整性檢驗            哈希值

 

 

 

                                                            CryptoAPI應用

 

 

 

為保證應用程序的安全性和移植性，應遵循的三條原則

1、應用程序不能訪問密鑰的內容

2、應用程序不能指定加密操作細節

3、應用程序不能處理用戶的信任憑證（由CSP來完成）

 

 

CryptoAPI體系：

    1、基本加密函數

    2、證書編碼與解碼函數

    3、證書存儲函數

    4、簡化信息存儲函數

    5、底層信息處理函數

 

 

 

 

 

 

 

數字證書相關學習： http://www.cnblogs.com/JeffreySun/archive/2010/06/24/1627247.html

 

CSP學習               ： http://blog.csdn.net/liuhuiyi/article/details/7766611

 

 

CryptoAPI體系結構

        CryptoAPI體系架構共由五大部分組成：

                （1） 基本加密函數：用於選擇CSP、建立CSP連接、產生密鑰、交換及傳輸密鑰等操作

                （2） 證書編解碼函數：用於數據加密、解密、哈希等操作，創建和校驗數字簽名操作；實現證書、證書撤銷列表、證書請求和證書擴展編碼和解碼操作。

                （3） 證書庫管理函數：用於數字證書及證書管理等操作。這組函數用於管理證書、證書撤銷列表和證書信任列表的使用、存儲、獲取等。

                （4） 簡單的消息函數：用於消息處理，比如消息編解碼，消息加解密，數字簽名及簽名驗簽等操作。它是把多個底層消息函數包裝在一起以完成某個特定任務，方便用戶使用。

                 （5） 底層消息函數：底層消息函數對傳輸的PKCS#7數據進行編碼，對接收到的PKCS#7數據進行解碼，並且對接收到的消息進行解碼和驗證。它可以實現簡單消息函數可以實現的所有功能，且提供更大的靈活性，但一般需要更多的函數調用。

 

CrpytoAPI基本功能

    利用CryptoAPI，開發者可以給基於windows的應用程序添加安全服務，包括：ANS.1編碼/解碼、數據加解密、身份認證、數字證書管理、同時支持PKI、對稱密碼技術等。

            （1） 密鑰管理

                    在CryptoAPI中，支持兩種類型的密鑰：會話密鑰、公私鑰對。會話密鑰也稱為對稱密鑰，用於對稱密鑰算法。為了保證密鑰的安全性，在CryptoAPI中，這些密鑰都保存在CSP內部，用戶可以通過CryptExportKey以加密密鑰形式導出。公私鑰用於非對稱加密算法。非對稱加密算法主要用於加解密會話密鑰和數字簽名。在CryptoAPI中，一般來說，大多數CSP產生的密鑰容器包含兩對密鑰對，一對用於加密會話密鑰，稱為交換密鑰對，一對用於產生數字簽名，稱為簽名密鑰對。在CryptoAPI中所有的密鑰都存儲在CSP中，CSP負責密鑰的創建，銷毀，導入導出等操作。

            （2） 數據編解碼

                    CryptoAPI采用的編碼方式為ASN.1，編碼規則為DER，表示發送數據時先把數據抽象為ASN.1對象，然后使用DER編碼規則把ASN.1對象轉化為可傳輸的0,1串；接收方接收到數據后，利用DER解碼規則把0,1串轉化為ASN.1對象，然后把ASN.1對象轉化為具體應用支持的數據對象。

            （3）數據加解密   

                    在CryptoAPI中約定加密較大數據塊時，采用對稱密鑰算法。通過其封裝好的加解密函數來實現數據加解密操作。

            （4）哈希和數字簽名

                    哈希和數字簽名一般用於數據的完整性校驗和身份鑒別。CryptoAPI中，通過其封裝好的哈希與數字簽名函數來實現相關操作。微軟公司提供的CSP產生的數字簽名遵循RSA標准（PKCS#6）

            （5）數字證書管理

                    數字證書主要用於安全通信中的身份鑒別。CryptoAPI中，對數字證書的使用管理函數分為證書與證書庫函數、證書驗證函數兩大部分。

 

 

 

在VC++中開發CryptoAPI應用程序，需要預先設置一些編譯環境。

1、需要包含以下頭文件

    #include <windows.h>

    #include <wincrypt.h>

2、包含的靜態鏈接庫

        鏈接CryptoAPI函數必須有靜態庫Crypto32.lib的支持，部分CryptoAPI函數可能還需要靜態庫advapi32.lib及CryptUI.lib的支持。

3、如果在VC++6.0上編譯程序，則還需加上以下語句：

        #ifndef _WIN32_WINNT

        #define _WIN32_WINNT    0X0400

        #endif

    在不同版本的windows操作系統下，可能需要定義不同的常量，具體看wincrypt.h頭文件，根據wincrypt.h上不同的預編譯語句在自己的應用程序中進行不同定義。

 

注：部分的CryptoAPI函數在VC++6.0上並沒有定義，如CertGetNameString函數為CryptoAPI的管理函數，但是在VC++6.0下編譯會報錯，查看相應的wincrypt.h文件時會發現里邊沒有聲明該函數。但在VC++7.0以上的版本中則定義了這個函數。解決方法是可以將VC++7.0以上的wincrypt.h和crypt32.lib還有advapi32.lib三個文件覆蓋vc++6.0的相應文件。

 

 

以下介紹幾個編寫CryptoAPI應用程序常用的函數：

 

1、 boolean CRYPTFUNC CryptAcquireContext(

                HCRYPTPROV*     phProv,                //csp句柄

                LPCTSTR                pszContainer,    //密鑰容器名稱，指向密鑰容器的字符串指針

                LPCTSTR                pszProvider,       //指向CSP名稱的字符串指針，如果為NULL，則使用默認的CSP

                DWORD                dwProvType,        //CSP類型

                DWORD                dwFlags                //標志

）；

 

這個函數是為了獲得CSP句柄，函數通過phProv參數返回獲得的CSP句柄。在CryptoAPI加密服務相關的所有操作都在CSP實現，CSP真正實行加密相關服務的獨立模塊，當應用程序需要加密相關服務時，比如：加解密操作，密鑰生產用於管理等，必須先獲取某個CSP句柄。這是一般CryptoAPI編程的第一步。

 

 

2、BOOL CRYTPFUNC CryptGenKey(

                HCRYPTPROV         hProv,            //CSP句柄

                ALG_ID                    Algid,            //算法標志ID，創建會話密鑰時，它指定具體的加解密算法。創建公私鑰對時，參數應該為AT_KEYEXCHANGE(交換密鑰對)或 AT_SIGNATURE(簽名密鑰對)。

                DWORD                dwFlags,            //說明創建密鑰的長度及其他屬性

                HCRYPTKEY*         phKey                //新創建密鑰句柄，函數通過這個參數返回創建的密鑰句柄

);

 

在CryptoAPI中，構造密鑰一般有兩種方法，一通過哈希值，二通過隨機數構造。上邊這種就是通過隨機數創建的。下面介紹利用哈希值創建的函數。

 

3、BOOL CRYPTFUNC CryptDeriveKey(

                    HCRYPTPROV         hProv,            //

                    ALG_ID                    Algid,             //要產生密鑰的對稱加密算法

                    HCRYPTHASH        hBaseData,    //哈希句柄，函數根據這個哈希句柄創建密鑰

                    DWORD                 dwFlags,         //指定密鑰的類型

                    HCRYPTKEY*          phKey            //密鑰句柄，函數通過這個參數返回創建的密鑰句柄

);

 

這個函數通過輸入的哈希值hBaseData來創建一個密鑰，通過密鑰句柄phKey參數返回。注意這個函數只能用於創建會話密鑰，不能用於創建公私鑰對。

 

 

4、BOOL CRYPTFUNC CryptCreateHash(

                    HCRYPTPROV        hProv,

                    ALG_ID                    Algid,            //哈希算法標志

                    HCRYPTKEY            hKey,            //如果哈希算法是密鑰哈希，如HMACH或者MAC算法，就用此密鑰句柄傳遞密鑰，對於非密鑰算法，此參數為NULL

                    DWORD                  dwFlags,        //保留，必須為0

                    HCRYPTHASH*        phHash        //哈希句柄，函數通過這個參數返回創建的哈希對象句柄

);

 

這個函數初始化一個哈希句柄，它創建並且返回一個CSP哈希句柄。

 

 

 

5、BOOL WINAPI     CryptHashData(

                    HCRYPTPROV         hHash,

                    BYTE*                      pbData,            //指向要加入到哈希句柄的數據指針

                    DWORD                  dwDataLen,        //數據長度

                    DWORD                  dwFlags                //標志

);

 

這個函數是計算一段數據的哈希值並加入到指定的哈希句柄中，在使用這個函數前必須通過CryptHashData函數創建一個哈希句柄。

 

 

6、BOOL WINAPI CryptEncodeObject(

            __in        DWORD    dwCertEncodingType,    //使用的編碼類型通常為X509_ASN_ENCODING|PKCS_7_ASN_ENCODING

            __in        LPCSTR    lpszStructType,                //要編碼的結構體類型

            __in        const void*     pvStructInfo,            //欲編碼的結構體指針，要和lpszStructType類型一致

            __out    BYTE*        pbEncoded,                    //編碼后結構體指針，當設置為NULL時用於獲取其長度

            __in_out      DWORD*        pcbEncoded        //編碼后的結構體長度

);

 

這個函數用於將pvStructInfo所指向的數據按照lpszStructType結構體類型編碼。

 

 

7、BOOL WINAPI CryptDecodeObject(

            __in        DWORD     dwCertEncodingType,    

            __in        LPCSTR       lpszStructType,

            __in        const BYTE*    pbEncoded,

            __in        DWORD        cbEncoded,

            __in        DWORD        dwFlags,

            __in        void*            pvStructInfo,

            __in_out DWORD*        pcbStructInfo

);

 

這個函數是對上面編碼的數據進行解碼，參數和上面編碼函數的參數差不多，具體可以查看幫助文檔。

 

 

 

 

 

 

1、基本加密函數

 

基本加密函數為開發加密應用程序提供了足夠靈活的空間。所有CSP 的通訊都是通過這些函數。

一個CSP 是實現所有加密操作的獨立模塊。在每一個應用程序中至少需要提供一個CSP來完成所需的加密操作。

如果使用多於一個以上的CSP，在加密函數調用中就要指定所需的CSP。微軟基本加密提供者（Microsoft Base Cryptographic Provider），是缺省綁定到CryptoAPI 里的。如果沒有指定其他CSP 時，這個CSP 就是卻省的。

每一個CSP 對CryptoAPI 提供了一套不同的實現。一些提供了更加強大的加密算法，而其他一些CSP 包含了對硬件的支持，比如智能卡。另外，一些CSP 偶爾和使用者直接通訊，比如數字簽名就使用了用戶的簽名私鑰。

基本加密函數包含了以下幾種：

 

服務提供者函數：

 

應用程序使用服務提供者函數來連接和斷開一個CSP。下面就是主要的API：

 

CryptAcquireContext	獲得指定CSP 的密鑰容器的句柄
CryptContextAddRef	對HCRYPTPROV 句柄增加一個應用計數
CryptEnumProviders	枚舉當前計算機中的CSP
CryptEnumProviderTypes	枚舉CSP 的類型
CryptGetDefaultProvider	對於指定CSP 類型的卻省CSP
CryptGetProvParam	得到一個CSP 的屬性
CryptInstallDefaultContext	安裝先前得到的HCRYPTPROV 上下文作為當前卻省的上下文
CryptReleaseContext	釋放由CryptAcquireContext 得到的句柄
CryptSetProvider 和 CryptSetProviderEx	為指定CSP 類型指定一個卻省的CSP
CryptSetProvParam	指定一個CSP 的屬性
CryptUninstallDefaultContext	刪除先前由CryptInstallDefaultContext 安裝的卻省上下文

 

 

 

 

 

 

 

 

 

 

密鑰的產生和交換函數：

 

密鑰產生函數創建、配置和銷毀加密密鑰。他們也用於和其他用戶進行交換密鑰。下面就是主要的一些函數：

 

CryptAcquireCertificatePrivateKey	對於指定證書上下文得到一個HCRYPTPROV 句柄和dwKeySpec
CryptDeriveKey	從一個密碼中派生一個密鑰
CryptDestoryKey	銷毀密鑰
CryptDuplicateKey	制作一個密鑰和密鑰狀態的精確復制
CryptExportKey	把CSP 的密鑰做成BLOB 傳送到應用程序的內存空間中
CryptGenKey	創建一個隨機密鑰
CryptGenRandom	產生一個隨機數
CryptGetKeyParam	得到密鑰的參數
CryptGetUserKey	得到一個密鑰交換或簽名密鑰的句柄
CryptImportKey	把一個密鑰BLOB 傳送到CSP中
CryptSetKeyParam	指定一個密鑰的參數

 

編碼/解碼函數：

 

有一些編碼/解碼函數，他們可以用來對證書、證書撤銷列表、證書請求和證書擴展進行編碼和解碼。以下就是這幾個函數：

 

CryptDecodeObject	對lpszStructType 結構進行解碼
CryptDecodeObjectEx	對lpszStructType 結構進行解碼，此函數支持內存分配選項
CryptEncodeObject	對lpszStructType 結構進行編碼
CyptEncodeObjectEx	對lpszStructType 結構進行編碼，此函數支持內存分配選項

 

 

數據加密/解密函數：

 

這些函數支持數據的加密/解密操作。CryptEncrypt 和CryptDecrypt 要求在被調用前指定一個密鑰。這個密鑰可以由CryptGenKey、CryptDeriveKey 或CryptImportKey 產生。創建密鑰時要指定加密算法。CryptSetKeyParam 函數可以指定額外的加密參數。

 

CryptDecrypt	使用指定加密密鑰來解密一段密文
CryptEncrypt	使用指定加密密鑰來加密一段明文
CryptProtectData	執行對DATA_BLOB 結構的加密
CryptUnprotectData	執行對DATA_BLOB 結構的完整性驗證和解密

 

 

哈希和數字簽名函數：

 

這些函數在應用程序中完成計算哈希、創建和校驗數字簽名。

 

CryptCreateHash	創建一個空哈希對象
CryptDestoryHash	銷毀一個哈希對象
CryptDuplicateHash	復制一個哈希對象
CryptGetHashParam	得到一個哈希對象參數
CryptHashData	對一塊數據進行哈希，把它加到指定的哈希對象中
CryptHashSessionKey	對一個會話密鑰進行哈希，把它加到指定的哈希對象中
CryptSetHashParam	設置一個哈希對象的參數
CryptSignHash	對一個哈希對象進行簽名
CryptVerifySignature	校驗一個數字簽名

 

 

 

 

2、證書和證書庫函數

 

這組函數管理、使用和取得證書、證書撤銷列表和證書信任列表。這些函數可以分成一下幾組：

 

證書庫函數：

 

一個用戶站點可以收集許多證書。這些證書是為這個站點的用戶所使用的，證書描述了這個用戶的具體身份。對於每個人，可能有一個以上的證書。證書庫和其相關的函數提供了對庫獲得、枚舉、驗證和使用證書庫里的信息。

以下就是這些函數：

 

CertAddStoreToCollection	在證書庫中增加一個證書
CertCloseStore	關閉一個證書庫句柄
CertControlStore	如果證書緩沖區和證書本身內容不相符時，允許給應用程序發一個通知
CertDuplicateStore	通過增加引用計數來復制證書庫句柄
CertEnumPhysicalStore	對於指定系統庫枚舉物理庫
CertEnumSystemStore	枚舉所有可用的系統庫
CertEnumSystemStoreLocation	枚舉可用系統庫的所有位置
CertGetStoreProperty	得到一個庫的屬性
CertOpenStore	使用指定庫類型來打開證書庫
CertOpenSystemStore	打開一個系統證書庫
CertRegisterPhysicalStore	在一個注冊系統庫里增加一個物理庫
CertRegisterSystemStore	注冊一個系統庫
CertRemoveStoreFromCollection	從一個庫集合里刪除證書庫
CertSaveStore	保存證書庫
CertSetStoreProperty	設置證書屬性
CertUnregisterPhysicalStore	從系統庫中刪除一個物理庫
CertUnregisterSystemStore	反注冊一個指定系統庫

 

維護函數：

 

CryptoAPI 提供了證書和證書庫函數如下：

 

CertAddSerializeElementToStore	在庫中增加一系列證書或CRL
CertCreateContext	從編碼字節中創建指定上下文
CertEnumSubjectInSortedCTL	在CTL 庫中枚舉信任主題
CertFindSubjectInCTL	在CTL 中尋找指定主題
CertFindSubjectInSortedCTL	在分類CTL 中尋找指定主題

 

證書函數：

 

下列函數是針對於證書的。大多數函數都是處理CRL 和CTL 的。

 

CertAddCertificateContextToStore	在證書庫里增加一個證書上下文
CertAddCertificateLinkToStore	在證書庫里增加一個對不同庫里的證書上下文的鏈接
CertAddEncodedCertificateToStore	把編碼證書轉換成證書上下文並且把它加到證書庫里
CertCreateCertificateContext	從編碼證書中創建一個證書上下文。但這個上下文並不放到證書庫里
CertCreateSelfSignCertificate	創建一個自簽名證書
CertDeleteCertificateFromStore	從證書庫里刪除一個證書
CertDuplicateCertificate	通過增加引用計數來復制證書上下文
CertEnumCertificateInStore	在證書庫里枚舉證書上下文
CertFindCertificateInStore	在證書庫里尋找證書上下文
CertFreeCertificateContext	釋放一個證書上下文
CertGetIssuerCertificateFromStore	在證書庫里得到指定主題證書的發行者
CertGetSubjectCertificateFromStore	獲得主題證書的上下文
CertGetValidUsages	返回所有證書的用法
CertSerializeCertificateStoreElement	串行化編碼證書的證書上下文
CertVerifySubjectCertificateContext	使用發行者來驗證主題證書
CryptUIDlgViewContext	顯示證書、CRL 或CTL
CryptUIDlgSelectCertificateFromStore	從指定庫中顯示對話框，可以從中選擇證書

 

 

證書撤銷列表函數：

 

CertAddCRLContextToStore	在證書庫里增加一個CRL 上下文
CertAddCRLLinkToStore	在不同的庫里增加一個CRL 上下文鏈接
CertAddEncodedCRLToStore	把編碼CRL 轉化成CRL 上下文然后把它加入到證書庫中
CertCreateCRLContext	從編碼CRL 中創建CRL 句柄，但不把它加到庫中
CertDeleteCRLFromStore	從證書庫里刪除一個CRL
CertDuplicateCRLContext	通過增加引用計數來復制CRL 上下文
CertEnumCRLsInStore	枚舉庫里的CRL 句柄
CertFindCertificateInCRL	從指定證書里尋找CRL 列表
CertFindCRLInStore	在庫里尋找CRL 上下文
CertFreeCRLContext	釋放CRL 上下文
CertGetCRLFromStore	從庫里得到CRL 上下文句柄
CertSerializeCRLStoreElement	串行化CRL 上下文的編碼CRL 和它的屬性

 

證書信任列表函數：

 

CertAddCTLContextToStore	把一個CTL 上下文加入到證書庫里
CertAddCTLLinkToStore	給不同庫里的CRL 上下文添加鏈接
CertAddEncodedCTLToStore	把編碼CTL 轉化成CTL 上下文並且把它加到證書庫里
CertCreateCTLContext	從編碼CTL 中創建CTL 上下文
CertDeleteCTLFromStore	從證書庫里刪除CTL
CertDuplicateCTLContext	通過增加引用計數來復制CTL 上下文
CertEnumCTLsInStore	在證書庫里枚舉CTL 上下文
CertFindCTLInStore	在證書庫里查找CTL 上下文
CertFreeCTLContext	釋放CTL 上下文
CertSerializeCTLStoreElement	串行化CTL 上下文的編碼CTL 和屬性

 

擴展屬性函數：

 

CertEnumCertificateContextProperties	枚舉指定證書上下文的屬性
CertEnumCRLContextProperties	枚舉指定CRL 上下文的屬性
CertEnumCTLContextProperties	枚舉指定CTL 上下文的屬性
CertGetCertificateContextProperty	得到證書屬性
CertGetCRLContextProperty	得到CRL 屬性
CertGetCTLContextProperty	得到CTL 屬性
CertSetCertificateContextProperty	設置證書屬性
CertSetCRLContextProperty	設置CRL 屬性
CertSetCTLContextProperty	設置CTL 屬性

 

 

 

3、證書驗證函數

 

證書驗證是通過CTL 和證書列表進行的。

 

使用CTL 的函數：

 

CertVerifyCTLUsage	驗證CTL 用法
CryptMsgEncodeAndSignCTL	編碼和驗證CTL
CryptMsgGetAndVerifySigner	從一個消息中獲得和驗證CTL
CryptMsgSignCTL	對包含CTL 的消息進行簽名

 

證書鏈驗證函數：

 

CertCreateCertificateChainEngine	為應用程序創建一個新的非卻省的鏈引擎
CertCreateCTLEntryFromCertificateContextProperties	創建一個CTL 入口
CertDuplicateCertificateChain	通過增加引用計數來復制證書鏈
CertFindChainInStore	在證書庫里查找證書鏈
CertFreeCertificateChain	釋放證書鏈
CertFreeCertificateChainEngine	釋放證書鏈引擎
CertGetCertificateChain	從最后一個證書建立一個上下文鏈表
CertSetCertificateContextPropertiesFromCTLEntry	通過CTL 入口屬性來設置證書上下文的屬性
CertIsValidCRLForCertificate	通過檢查CRL 來確定CRL 是否包括指定被撤銷的證書
CertVerifyCertificateChainPolicy	通過檢查證書鏈來確定它的完整性

 

4、消息函數

 

CryptoAPI 消息函數包括兩組：低級消息函數和簡化消息函數。

低級消息函數直接和PKCS#7 消息工作。這些函數對傳輸的PKCS#7 數據進行編碼，對接收到的PKCS#7 數據進行解碼，並且對接收到的消息進行解密和驗證。

簡化消息函數是比較高級的函數，是對幾個低級消息函數和證書函數的封裝，用來執行指定任務。這些函數在完成一個任務時，減少了函數調用的數量，因此簡化了CryptoAPI的使用。

 

低級消息函數：

 

CryptMsgCalculateEncodedLength	計算加密消息的長度
CryptMsgClose	關閉加密消息的句柄
CryptMsgControl	執行指定的控制函數
CryptMsgCountersign	標記消息中已存在的簽名
CryptMsgCountersignEncoded	標記已存在的簽名
CryptMsgDuplicate	通過增加引用計數來復制加密消息句柄
CryptMsgGetParam	對加密消息進行編碼或者解碼后得到的參數
CryptMsgOpenToDecode	打開加密消息進行解碼
CryptMsgOpenToEncode	打開加密消息進行編碼
CryptMsgUpdate	更新加密消息的內容
CryptMsgVerifyCountersignatureEncoded	驗證SignerInfo 結構中標記時間
CryptMsgVerifyCountersignatureEncodedEx	驗證SignerInfo 結構中標記時間簽名者可以是CERT_PUBLIC_KEY_INFO 結構

 

 

 

 

簡化消息函數：

 

CryptDecodeMessage	對加密消息進行解碼
CryptDecryptAndVerifyMessageSignature	對指定消息進行解密並且驗證簽名者
CryptDecryptMessage	解密指定消息
CryptEncryptMessage	加密指定消息
CryptGetMessageCertificates	返回包含消息的證書和CRL 的證書庫
CryptGetMessageSignatureCount	返回簽名消息的簽名者數量
CryptHashMessage	創建消息的哈希
CryptSignAndEncryptMessage	對消息進行簽名並且加密
CryptSignMessage	對消息進行簽名
CryptVerifyDetachedMessageHash	驗證包含已解邦定哈希的哈希消息
CryptVerifyDetachedMessageSignature	驗證包含已解邦定簽名的簽名消息
CryptVerifyMessageHash	驗證一個哈希消息
CryptVerifyMessageSignature	驗證一個簽名消息

 

5、輔助函數

 

數據管理函數

 

CertCompareCertificate	比較兩個證書是否相同
CertCompareCertificateName	通過比較兩個證書名稱來決定他們是否相同
CertCompareIntegerBlob	比較兩個整數BLOB
CertComparePublicKeyInfo	通過比較兩個證書公鑰來決定他們是否相同
CertFindAttribute	通過OID 來查找屬性
CertFindExtension	通過OID 來查找擴展
CertFindRDNAttr	通過OID 來查找RDN 屬性
CertGetIntendedKeyUsage	從證書中取得相關密鑰用法
CertGetPublicKeyLength	從公鑰BLOB 中取得公鑰/私鑰長度
CertIsRDNAttrsInCertificateName	通過指定RDN 數組屬性比較證書名稱屬性來決定證書是否已包含了所有屬性
CertVerifyCRLRevocation	驗證主題證書是否在CRL 中
CertVerifyCRLTimeValidity	驗證CRL 的有效時間
CertVerifyRevocation	驗證主題證書是否在CRL 中
CertVerifyTimeValidity	驗證CRL 的有效時間
CertVerifyValidityNesting	驗證主題時間的有效性是否在發行者有效時間內
CryptExportPublicKeyInfo	導出公鑰信息
CryptExportPublicKeyInfoEx	導出公鑰信息（用戶可以指定算法）
CryptFindCertificateKeyProvInfo	枚舉CSP 和它的密鑰容器來查找對應於公鑰的相應私鑰
CryptFindLocalizedName	查找指定名字的局部化名稱
CryptHashCertificate	哈希證書內容
CryptHashPublicKeyInfo	計算公鑰信息的哈希
CryptHashToBeSigned	計算簽名內容的信息哈希值
CryptImportPublicKeyInfo	把公鑰信息導入CSP 並且返回它的句柄
CryptImportPublicKeyInfoEx	把公鑰信息導入CSP 並且返回它的句柄
CryptMemAlloc	分配內存
CryptMemFree	釋放內存
CryptMemRealloc	重新分配內存
CryptQueryObject	得到BLOB 或文件的內容信息
CryptSignAndEncodeCertificate	對信息進行簽名並且編碼
CryptSignCertificate	對證書進行簽名
CryptVerifyCertificateSignature	使用公鑰信息對主題證書或CRL 的簽名進行驗證
CryptVerifyCertificateSignatureEx	使用公鑰信息對主題證書或CRL 的簽名進行驗證

 

 

 

 

 

 

 

 

數據轉換函數

 

 

CertAlgIdToOID	把CSP 算法標示符轉換成OID
CertGetNameString	得到證書的主題或頒發者名稱並且把它轉換成字符串
CertNameToStr	把證書名稱BLOB 轉換成字符串
CertOIDToAlgId	把OID 轉換成CSP 算法表示符
CertRDNValueToStr	把名稱值轉換成字符串
CertStrToName	把字符串轉換成編碼證書名稱
CryptBinaryToString	把二進制序列轉換成字符串
CryptFormatObject	格式化編碼數據，返回Unicode 字符串
CryptStringToBinary	把格式化的字符串轉換成二進制序列

 

 

增強密鑰用法函數

 

CertAddEnhancedKeyUsageIdentifier	在證書EKU 屬性中增加一個用法標示符
CertGetEnhancedKeyUsage	獲得證書的EKU 擴展或屬性信息
CertRemoveEnhancedKeyUsageIdentifier	從證書EKU 擴展屬性中刪除用法標示符OID
CertSetEnhancedKeyUsage	設置證書的EKU 屬性

 

 

 

 

 

 

 

密鑰標示函數

 

CryptCreateKeyIdentifierFromCSP	創建CSP 公鑰的密鑰標示符
CryptEnumKeyIdentifierProperties	枚舉標示符和其屬性
CryptGetKeyIdentifierProperty	從指定密鑰標示符中獲得指定屬性
CryptSetKeyIdentifierProperty	設置指定密鑰標示符的屬性

 

 

證書庫回調函數

 

CertDllOpenStoreProv	定義庫提供者打開函數
CertStoreProvCloseCallback	決定當證書庫引用計數為0 時將發生的動作
CertStoreProvDeleteCertCallback	決定當從證書庫中刪除一個證書之前的動作
CertStoreProvDeleteCRLCallback	決定當從證書庫中刪除一個CRL 之前的動作
CertStoreProvReadCertCallback	保留
CertStoreProvReadCRLCallback	保留
CertStoreProvSetCertPropertyCallback	決定在CertSetCertificateContextProperty 和CertGetCertificateContext 調用之前的動作
CertStoreProvSetCRLPropertyCallback	決定在CertSetCRLContextProperty 和CertGetCRLContextProperty 調用之前的動作
CertStoreProvWriteCertCallback	決定在證書庫中加入一個證書前的動作
CertStoreProvWriteCRLCallback	決定在證書庫中加入一個CRL 前的動作
CertStoreProvReadCTL	讀CSP 的CTL 上下文
CertStoreProvWriteCTL	決定CTL 是否可被加入到證書庫中
CertStoreProvDeleteCTL	決定CTL 是否可被刪除
CertStoreProvSetCTLProperty	決定是否可以設置CTL 的屬性
CertStoreProvControl	當緩沖庫和存儲庫不同時，通知應用程序
CertStoreProvFindCert	在證書庫中查找下一個證書
CertStoreProvFreeFindCert	釋放前一個找到的證書上下文
CertStoreProvGetCertProperty	得到指定的證書屬性
CertStoreProvFindCRL	查找第一個或下一個匹配的CRL
CertStoreProvFreeFindCRL	釋放前一個找到的CRL 上下文
CertStoreProvGetCRLProperty	得到指定CRL 屬性
CertStoreProvFindCTL	查找第一個或下一個匹配的CTL
CertStoreProvFreeFindCTL	釋放前一個找到的CTL 上下文
CertStoreProvGetCTLProperty	得到指定CTL 屬性

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

OID 支持函數

 

CryptEnumOIDFuction	枚舉由編碼類型、函數名和OID 指定注冊的OID 函數
CryptEnumOIDInfo	枚舉注冊的OID 信息
CryptEnumOIDInfo	使用指定的密鑰和組查找OID 信息
CryptFreeOIDFuctionAddress	釋放OID 函數地址句柄
CryptGetDefaultOIDDllList	對於指定的函數結合和類型獲得卻省注冊的DLL 入口
CryptGetDefaultOIDFuctionAddress	獲得已安裝的第一次或下一個卻省函數或者加載包含卻省函數的DLL
CryptGetOIDFuctionAddress	搜索匹配指定編碼類型和OID 函數列表，如果沒有找到，就查找注冊表
CryptGetOIDFuctionValue	獲得指定編碼類型、函數名稱和OID 的值
CryptInitOIDFuctionSet	初始化OID 函數集合的句柄
CryptInstallOIDFuctionAddress	安裝可調用的OID 函數地址集合
CryptRegisterDefaultOIDFuction	注冊包含卻省函數的DLL
CryptRegisterOIDFuction	注冊包含指定函數的DLL
CryptRegisterOIDInfo	注冊由CRYPT_OID_INFO 指定的OID 信息
CryptSetOIDFuctionValue	設置編碼類型、函數名稱等的值
CryptUnregisterDefaultOIDFunction	卸載包含卻省函數的DLL
CryptUnregisterOIDFuction	卸載包含函數的DLL
CryptUnregisterOIDInfo	卸載指定OID 的信息

 

遠程對象恢復函數

 

CryptGetObjectUrl	從證書、CTL 或CRL 中取得遠程對象的URL
CryptRetrieveObjectByUrl	由URL 指定位置恢復PKI 對象

 

PFX 函數

PFXExportCertStore	從證書庫中導出證書或證書和私鑰
PFXExportCertStoreEx	從證書庫中導出證書或證書和私鑰
PFXImportCertStore	從PFX BLOB 導入到指定證書庫
PFXIsPFXBlob	把外層BLOB 像pfx 包那樣解碼
PFXVerifyPassword	把外層BLOB 像pfx 包那樣解碼,並且用指定口令解密