轉(zhuǎn)自
http://www.infosecurity.org.cn/forum/thread.php?fid=11&page=1

Q：

有為usbkey寫(xiě)過(guò)csp的嗎？請(qǐng)問(wèn)如何實(shí)現(xiàn)用usbkey來(lái)保存證書(shū)？
csp的CPSetKeyParam（）需要注意什么？（MSDN上的沒(méi)看懂）是否需要設(shè)定PK_CERTIFICATE這個(gè)參數(shù)？

比如，需要將產(chǎn)生的證書(shū)存在D盤(pán)根目錄下面（暫時(shí)代替usbkey），需要哪里設(shè)定？

A：

分別通過(guò)調(diào)用CryptSetKeyParam和CryptGetKeyParam來(lái)調(diào)用CSP實(shí)現(xiàn)的CPSetKeyParam和CPGetKeyParam
當(dāng)dwParam為KP_CERTIFICATE時(shí)，CPGetKeyParam的pbData就是證書(shū)的DER編碼值。

Q：

使用usbkey時(shí)，彈出了一個(gè)輸入pin碼的框，這個(gè)框應(yīng)該是CPGenKey（）時(shí)來(lái)彈出的吧？！

A：

在產(chǎn)生證書(shū)請(qǐng)求的時(shí)候,CSP產(chǎn)生一個(gè)新容器，然后在容器里產(chǎn)生密鑰對(duì)，然后使用密鑰對(duì)產(chǎn)生證書(shū)請(qǐng)求。安裝證書(shū)的時(shí)候，找到對(duì)應(yīng)的容器，在對(duì)應(yīng)的位置寫(xiě)入證書(shū)。
PIN的輸入框，通常是要進(jìn)行一個(gè)要求驗(yàn)證PIN碼才能正常完成的操作，而以前有沒(méi)有輸入過(guò)PIN的情況下彈出的。通常這些操作包括產(chǎn)生容器、產(chǎn)生密鑰對(duì)、寫(xiě)入證書(shū)、簽名、使用私鑰解密等。PIN的輸入框是由CSP的實(shí)現(xiàn)者實(shí)現(xiàn)的。據(jù)MSDN說(shuō)如果CryptAcquireContext的dwFlags包括CRYPT_SILENT，則不能彈出PIN的輸入框。

Q:

經(jīng)過(guò)幾天的試驗(yàn)，有些進(jìn)展。在如下方面還是有些不明白：
1、申請(qǐng)證書(shū)時(shí)，是隨機(jī)產(chǎn)生的一串id，作為密鑰的容器名，并存在證書(shū)里面（猜測(cè)）；安裝證書(shū)時(shí)，在調(diào)用CAPI函數(shù)自動(dòng)傳進(jìn)來(lái)的吧；如果不是這樣，那先前的那個(gè)容器名怎么取得？
2、在使用證書(shū)進(jìn)行加、解密、簽名時(shí)，應(yīng)該也是從證書(shū)里面取的密鑰容器名吧
3、CA證書(shū)的一些Store和密鑰容器理解上還是有些含糊
4、這個(gè)是以后的問(wèn)題了：就是自己做一個(gè)應(yīng)用軟件，調(diào)用CAPI函數(shù)來(lái)使用已有的證書(shū)進(jìn)行加、解密和簽名。這個(gè)好像有好多帖子，到時(shí)候再一起討論。
A:

容器名不會(huì)存在證書(shū)里的。
證書(shū)和CSP信息的關(guān)聯(lián)是由證書(shū)庫(kù)來(lái)關(guān)聯(lián)的。

以xenroll產(chǎn)生證書(shū)請(qǐng)求和安裝為例，大致過(guò)程是這樣的：
產(chǎn)生證書(shū)請(qǐng)求時(shí)，通常先產(chǎn)生一個(gè)新的容器，在容器里產(chǎn)生一對(duì)密鑰對(duì)，然后用該密鑰對(duì)產(chǎn)生證書(shū)請(qǐng)求。接著產(chǎn)生一個(gè)假證書(shū)，該證書(shū)的簽名只有幾個(gè)字節(jié)，然后把CSP的相關(guān)信息保存在該證書(shū)對(duì)象的CERT_KEY_PROV_INFO_PROP_ID屬性里，最后把該證書(shū)對(duì)象加入到請(qǐng)求證書(shū)庫(kù)里。
安裝證書(shū)時(shí)，在請(qǐng)求證書(shū)庫(kù)里，根據(jù)公鑰找到匹配的假證書(shū)，設(shè)置要安裝的證書(shū)的對(duì)象的CERT_KEY_PROV_INFO_PROP_ID屬性為請(qǐng)求證書(shū)庫(kù)里相應(yīng)證書(shū)的CERT_KEY_PROV_INFO_PROP_ID屬性，并加入到個(gè)人證書(shū)庫(kù)里。然后刪掉請(qǐng)求證書(shū)庫(kù)里的對(duì)應(yīng)證書(shū)。如果發(fā)現(xiàn)是USBKEY的CSP，會(huì)把證書(shū)也寫(xiě)入到USBKEY中。

以后使用證書(shū)來(lái)解密、簽名的時(shí)候，會(huì)在個(gè)人證書(shū)庫(kù)里找到對(duì)應(yīng)證書(shū)的CERT_KEY_PROV_INFO_PROP_ID屬性，來(lái)獲取CSP信息，調(diào)用CSP來(lái)解密、簽名的。