CERT_USAGE_MATCH-Struktur (wincrypt.h)
Die CERT_USAGE_MATCH-Struktur enthält Kriterien für die Identifizierung von Ausstellerzertifikaten, die zum Erstellen einer Zertifikatkette verwendet werden sollen.
Syntax
typedef struct _CERT_USAGE_MATCH {
DWORD dwType;
CERT_ENHKEY_USAGE Usage;
} CERT_USAGE_MATCH, *PCERT_USAGE_MATCH;
Member
dwType
Bestimmt die Art des Ausstellerabgleichs, der durchgeführt werden soll. In der AND-Logik muss das Zertifikat alle Kriterien erfüllen. In der OR-Logik muss das Zertifikat mindestens eines der Kriterien erfüllen. Die folgenden Codes werden definiert, um die in der Übereinstimmung verwendete Logik zu bestimmen. Weitere Informationen dazu, wie dies angewendet wurde, finden Sie unter Hinweise.
| Wert | Bedeutung |
|---|---|
|
AND-Logik |
|
OR-Logik |
Die Standardmäßige Übereinstimmungslogik für die Verwendung ist USAGE_MATCH_TYPE_AND.
Usage
CERT_ENHKEY_USAGE-Struktur (CERT_ENHKEY_USAGE ist ein alternativer Typdefinitionsname für die CTL_USAGE-Struktur ), die ein Array von Zertifikatobjektbezeichnern (OIDs) enthält, die ein Zertifikat übereinstimmen muss, um gültig zu sein.
Hinweise
Wenn das dwType-Element auf USAGE_MATCH_TYPE_OR festgelegt ist, darf das Usage-Element nicht leer sein.
Wenn das dwType-Element auf USAGE_MATCH_TYPE_AND festgelegt ist, bedeutet ein leeres Usage-Element , dass jede geschachtelte Verwendung in der Kette funktioniert.
Im Folgenden wird das Verhalten der beiden Erweiterten Schlüsselverwendung (Enhanced Key Usage, EKU) EKU A und EKU B beschrieben.
AND-Logik
Wenn der Aufrufer EKU A UND EKU B angibt, ist das Zielzertifikat gültig, wenn EKU A und EKU B von jedem Zertifikat im Pfad unterstützt werden (entweder durch eine explizite EKU-Einstellung oder durch eine fehlende EKU-Erweiterung in Zertifizierungsstellenzertifikaten).OR-Logik
Wenn der Aufrufer EKU A ODER EKU B angibt, ist das Zielzertifikat gültig, wenn EKU A oder EKU B im Pfad unterstützt wird.Neben dem einfachen Fall, in dem die Zertifikate im Pfad EKU A oder EKU B enthalten, verfügt die OR-Klausel über die folgende spezielle Auswertung.
Bei folgendem Pfad gilt der OR-Test als gültig:
Obwohl die Schnittmenge der EKUs in der Kette eine leere Menge ist, ist die Verwendung des EE-Zertifikats für EKU A gültig, da die Anforderung an die Kryptografie-API angibt, dass das Zertifikat gültig ist, wenn jedes Zertifikat des Pfads EKU A oder EKU B unterstützt.
Anforderungen
| Anforderung | Wert |
|---|---|
| Unterstützte Mindestversion (Client) | Windows XP [nur Desktop-Apps] |
| Unterstützte Mindestversion (Server) | Windows Server 2003 [nur Desktop-Apps] |
| Kopfzeile | wincrypt.h |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für