今天在使用Outlook express调试CSP程序时,发现数字证书总是加载不上(提示该数字证书已经被破坏),使用断点进去跟踪一下,发现在CSP程序中调用CPVerifySignature函数时返回80090006错误(不是一个合法的签名),因为这里CPVerifySignature函数是windows提供的SPI接口函数,肯定不会有错,推测是不是传进去的签名值发生了错误,然而这个签名值来自哪里呢?应该是来自上层的Crypto应用(即Outlook express程序),推测在证书验证时会调用哪些函数,在使用CPVerifySignature时,传入了签名值,hash对象句柄,和公钥句柄,整个签名验证过程是先使用公钥对签名值进行解密,得到的是一个hash对象的值,然后与传入的hash对象的值进行比较,如果相同则验证签名成功~~要创建一个hash对象,会使用CPCreateHash函数,然后要使用CPHashData对原数据进行杂凑处理,从而得到一个hash对象。
所以,打开一个数字证书所经历的过程大概如下:
1)使用CPAcquireContext函数,使用CRYPT_VERIFYCONTEXT参数,得到一个临时密钥容器
2)使用CPImportKey函数,导入证书上公钥PublicKey到密钥容器
3)使用CPCreateHash函数,创建一个Hash对象
4)使用CPHashData函数,对数字证书进行Hash,得到Hash值
5)使用CPVerifySignature函数,使用Hash对象和公钥PublicKey进行签名验证