EncryptMessage返回SEC_E_INVALID_TOKEN

Question

當使用具有有效上下文的win32 API中的EncryptMessage（SChannel）時，我按照正確的順序提供了四個緩衝區我得到SEC_E_INVALID_TOKEN響應，根據文檔找到的是SECBUFFER_DATA類型的緩衝區。我知道pvBuffers的集合應該從連續的內存中分配出來以提高速度，但爲了簡單起見，我已經明確了它是什麼。任何人都可以看到問題可能是什麼？

謝謝， 布魯斯

的代碼是下面;

procedure TTCPSocket.SSPEncryptBuffer(SSPCtx: PCtxtHandle; InData: PAnsiChar; InDataLength: Cardinal); 
var 
    SecStatus: TSecurityStatus; 

    SecBufDesc: TSecBufferDesc; 
    SecBufs: packed array [0 .. 3] of TSecBuffer; 
begin 
    SecBufs[0].BufferType := SECBUFFER_STREAM_HEADER; 
    SecBufs[0].cbBuffer := FSecPkgSizes.cbHeader; 
    SecBufs[0].pvBuffer := AllocMem(FSecPkgSizes.cbHeader); 

    SecBufs[1].BufferType := SECBUFFER_DATA; 
    SecBufs[1].cbBuffer := InDataLength; 
    SecBufs[1].pvBuffer := InData; 

    SecBufs[2].BufferType := SECBUFFER_STREAM_TRAILER; 
    SecBufs[2].cbBuffer := FSecPkgSizes.cbTrailer; 
    SecBufs[2].pvBuffer := AllocMem(FSecPkgSizes.cbTrailer); 

    SecBufs[3].BufferType := SECBUFFER_EMPTY; 
    SecBufs[3].cbBuffer := 0; 
    SecBufs[3].pvBuffer := nil; 

    SecBufDesc.ulVersion := SECBUFFER_VERSION; 
    SecBufDesc.cBuffers := 4; 
    SecBufDesc.pBuffers := @SecBufs[0]; 

    SecStatus := EncryptMessage(SSPCtx, 0, @SecBufDesc, 0); 

    if SecStatus <> SEC_E_OK then 
    begin 
    // Error code.. 
    end; 
end; 

我用STRACE注入到可執行文件中，這行看起來很有趣;

12/07/2009 23:10:30:635 - SecBuffer #0 BufferType:0x00000007 cbBuffer:5 
12/07/2009 23:10:30:636 - SecBuffer #1 BufferType:0x00000001 cbBuffer:13 
12/07/2009 23:10:30:636 - SECBUFFER_DATA - 13 byte(s)/EncryptMessage - INPUT 
===================================================== 
     00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0fabcdef 

0000: 68 65 6c 6c 6f 20 77 6f 72 6c 64 21 00   hello world!. 
===================================================== 
12/07/2009 23:10:30:636 - SecBuffer #2 BufferType:0x00000006 cbBuffer:36 
12/07/2009 23:10:30:636 - SecBuffer #3 BufferType:0x00000000 cbBuffer:0 
12/07/2009 23:10:30:636 - 

*** WARNING : EncryptMessage failed (80090308) *** 

看起來好像OS正在獲取正確的信息。

我已經搜索了一下，發現80090308通常意味着證書有問題，因爲服務器的全名應該在主題CN = www.foobar.com中，但是這並沒有解決問題，證書和CA由OpenSSL生成。

Answer 1

這裏有一些猜測，因爲這似乎是人們在嘗試使用Windows上的非對稱加密進行任何操作時遇到的常見問題。

如果它是自簽名CA並且您的證書是使用自簽名CA簽名的，則需要將CA導入到您計算機的受信任CA存儲區中。如果你

1. 文件 - >添加/刪除管理單元

2. 添加「證書」管理單元中，選擇「計算機帳戶」：

   要做到這一點，運行MMC並執行以下操作希望它適用於計算機上的所有用戶。

3. 打開「受信任的根證書頒發機構 - >證書」樹節點。

4. 右鍵單擊「證書」並選擇導入。

5. 導入CA證書文件。 （應該接受沒有問題，經編碼版本的PEM）

雖然CN需要將機器的名稱，在大多數情況下，你的機器的認證匹配，如果CA不是CA驗證將失敗導入Windows信任存儲。

我希望它有幫助。

Answer 2

當您在客戶端和服務器上設置您的上下文使用;

InitializeSecurityContext // Schannel Client 
AcceptSecurityContext // Schannel Server 

工資非常特別注意你傳遞你想要爲這方面的類型標誌確定類型SecBuffer（S），你需要兩個EncryptMessage和DecryptMessage的。例如，我正在使用;

FClientContextFlags := 
    ISC_REQ_CONFIDENTIALITY or 
    ISC_REQ_STREAM or 
    ISC_REQ_ALLOCATE_MEMORY; 

    FServerContextFlags := 
    ASC_REQ_CONFIDENTIALITY or 
    ASC_REQ_STREAM or 
    ASC_REQ_ALLOCATE_MEMORY; 

這意味着對於EncryptMessage你需要四個SecBuffers;

SECBUFFER_STREAM_HEADER 
SECBUFFER_DATA 
SECBUFFER_STREAM_TRAILER 
SECBUFFER_EMPTY 

並且對於DecryptMessage你還需要4個SecBuffers;

SECBUFFER_DATA 
SECBUFFER_EMPTY 
SECBUFFER_EMPTY 
SECBUFFER_EMPTY 

我的問題是，我有* _REQ_STREAM和* _REQ_CONNECTION其上的文件細讀基本上是不兼容的。這是最重要的，以確保您有一個有效的證書/信任等

我希望這可以幫助某人。

布魯斯