estructura CERT_USAGE_MATCH (wincrypt.h)
La estructura de CERT_USAGE_MATCH proporciona criterios para identificar los certificados de emisor que se usarán para crear una cadena de certificados.
Sintaxis
typedef struct _CERT_USAGE_MATCH {
DWORD dwType;
CERT_ENHKEY_USAGE Usage;
} CERT_USAGE_MATCH, *PCERT_USAGE_MATCH;
Miembros
dwType
Determina el tipo de coincidencia del emisor que se va a realizar. En la lógica AND , el certificado debe cumplir todos los criterios. En la lógica OR , el certificado debe cumplir al menos uno de los criterios. Los códigos siguientes se definen para determinar la lógica usada en la coincidencia. Para obtener más información sobre cómo se aplica, vea Comentarios.
| Valor | Significado |
|---|---|
|
Lógica AND |
|
Lógica OR |
La lógica de coincidencia de uso predeterminada es USAGE_MATCH_TYPE_AND.
Usage
CERT_ENHKEY_USAGE estructura (CERT_ENHKEY_USAGE es un nombre de definición de tipo alternativo para la estructura CTL_USAGE ) que incluye una matriz de identificadores de objeto de certificado (OID) que un certificado debe coincidir para poder ser válido.
Comentarios
Si el miembro dwType está establecido en USAGE_MATCH_TYPE_OR, el miembro Usage no puede estar vacío.
Si el miembro dwType se establece en USAGE_MATCH_TYPE_AND, un miembro Usage vacío significa que cualquier uso anidado en la cadena funcionará.
A continuación se describe el comportamiento dado dos extensiones de uso mejorado de clave (EKU) EKU A y EKU B.
LÓGICA AND
Si el autor de la llamada especifica EKU A AND EKU B, el certificado de destino es válido si cada certificado de la ruta de acceso admite EKU A y EKU B (ya sea mediante una configuración explícita de EKU o a través de una extensión de EKU ausente en los certificados de CA).Lógica OR
Si el autor de la llamada especifica EKU A O EKU B, el certificado de destino es válido si se admite EKU A o EKU B en la ruta de acceso.Además del caso sencillo en el que los certificados de la ruta de acceso contienen EKU A o EKU B, la cláusula OR tiene la siguiente evaluación especial.
Dada la siguiente ruta de acceso, la prueba OR se considera válida:
Aunque la intersección de las EKU de la cadena es un conjunto vacío, el uso del certificado EE es válido para EKU A porque la solicitud a la API de criptografía especifica que el certificado es válido si cada certificado de la ruta de acceso admite EKU A O EKU B.
Requisitos
| Requisito | Value |
|---|---|
| Cliente mínimo compatible | Windows XP [solo aplicaciones de escritorio] |
| Servidor mínimo compatible | Windows Server 2003 [solo aplicaciones de escritorio] |
| Encabezado | wincrypt.h |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de