Función PFXExportCertStoreEx (wincrypt.h)
La función PFXExportCertStoreEx exporta los certificados y, si está disponible, sus claves privadas asociadas desde el almacén de certificados al que se hace referencia. Esta función reemplaza a la función PfxExportCertStore anterior. Se debe usar para su seguridad mejorada de clave privada. El BLOB PFX creado por esta función está protegido por una contraseña.
Sintaxis
BOOL PFXExportCertStoreEx(
[in] HCERTSTORE hStore,
[in, out] CRYPT_DATA_BLOB *pPFX,
[in] LPCWSTR szPassword,
[in] void *pvPara,
[in] DWORD dwFlags
);
Parámetros
[in] hStore
Identificador del almacén de certificados que contiene los certificados que se van a exportar.
[in, out] pPFX
Puntero a una estructura de CRYPT_DATA_BLOB que contiene el paquete PFX con los certificados y claves exportados. Si pPFX-pbData> es NULL, la función calcula el número de bytes necesarios para el BLOB codificado y lo devuelve en pPFX-cbData.> Cuando se llama a la función con pPFX-pbData> que apunta a un búfer asignado del tamaño necesario, la función copia los bytes codificados en el búfer y actualizapPFX-cbData> con la longitud de bytes de codificación.
[in] szPassword
Contraseña de cadena usada para cifrar y comprobar el paquete PFX. Cuando haya terminado de usar la contraseña, desactive la contraseña de la memoria llamando a la función SecureZeroMemory . Para obtener más información sobre cómo proteger las contraseñas, consulte Control de contraseñas.
[in] pvPara
Este parámetro debe ser NULL si el parámetro dwFlags no contiene PKCS12_PROTECT_TO_DOMAIN_SIDS o PKCS12_EXPORT_PBES2_PARAMS. Antes de Windows 8 y Windows Server 2012, por lo tanto, este parámetro debe ser NULL.
A partir de Windows 8 y Windows Server 2012, si el parámetro dwFlags contiene PKCS12_PROTECT_TO_DOMAIN_SIDS, puede establecer el parámetro pvPara para que apunte a un valor de NCRYPT_DESCRIPTOR_HANDLE para identificar a qué entidad de seguridad de Active Directory se protegerá la contraseña PFX dentro del BLOB PFX. Actualmente, la contraseña se puede proteger a un usuario, equipo o grupo de Active Directory. Para obtener más información sobre los descriptores de protección, vea NCryptCreateProtectionDescriptor.
A partir de Windows 10 1709 (Fall Creators update) y Windows Server 2019, si el parámetro dwFlags contiene PKCS12_EXPORT_PBES2_PARAMS, debe establecer el pvPara en un valor de PKCS12_EXPORT_PBES2_PARAMS para seleccionar el algoritmo de cifrado basado en contraseña que se va a usar.
[in] dwFlags
Los valores de marca se pueden establecer en cualquier combinación de lo siguiente.
| Valor | Significado |
|---|---|
|
Las claves privadas se exportan, así como los certificados. |
|
Si se encuentra un certificado que no tiene ninguna clave privada asociada, la función devuelve FALSE con el último error establecido en CRYPT_E_NOT_FOUND o NTE_NO_KEY. |
|
Si se encuentra un certificado que tiene una clave privada no exportable, la función devuelve FALSE y el último error establecido en NTE_BAD_KEY, NTE_BAD_KEY_STATE o NTE_PERM. |
|
Exporte todas las propiedades extendidas en el certificado.
Windows Server 2003 y Windows XP: Este valor no se admite. |
|
El BLOB PFX contiene una contraseña incrustada que se protegerá en el descriptor de protección de Active Directory (AD) al que apunta el parámetro pvPara . Si el parámetro szPassword no es NULL o está vacío, la contraseña especificada está protegida. Sin embargo, si el parámetro szPassword es NULL o una cadena vacía, se crea y protege una contraseña aleatoria de cuarenta (40) caracteres.
PFXImportCertStore usa el descriptor de protección especificado para descifrar la contraseña insertada, ya sea especificada por el usuario o generada aleatoriamente y, a continuación, usa la contraseña para descifrar el BLOB PFX. Windows 8 y Windows Server 2012: comienza la compatibilidad con esta marca. |
|
Exporte mediante el algoritmo de cifrado basado en passowrd especificado por el valor de PKCS12_EXPORT_PBES2_PARAMS pasado como pvPara.
Windows 10 1709 (Fall Creators Update) y Windows Server 2019: comienza la compatibilidad con esta marca. |
Valor devuelto
Devuelve TRUE (distinto de cero) si la función se ejecuta correctamente y FALSE (cero) si se produce un error en la función. Para obtener información de error extendida, llame a GetLastError.
Comentarios
A partir de Windows 8 y Windows Server 2012, puede proteger la contraseña PFX en un usuario, equipo o grupo de Active Directory. Si decide hacerlo, pero no cree una contraseña, se seleccionará aleatoriamente una contraseña temporal. La contraseña se cifra mediante la entidad de seguridad de Active Directory y, a continuación, se inserta en el BLOB PFX. Para obtener más información, consulte el parámetro pvPara y la marca PKCS12_PROTECT_TO_DOMAIN_SIDS .
A partir de Windows 10 1709 (Fall Creators update) y Windows Server 2019, puede controlar el número de iteraciones de la función hash a través de la contraseña realizada por la función PFXExportCertStoreEx mediante la siguiente clave del Registro. El valor de esta clave es de tipo REG_DWORD.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\PFX\PasswordIterationCount
Requisitos
| Requisito | Value |
|---|---|
| Cliente mínimo compatible | Windows XP [aplicaciones de escritorio | aplicaciones para UWP] |
| Servidor mínimo compatible | Windows Server 2003 [aplicaciones de escritorio | aplicaciones para UWP] |
| Plataforma de destino | Windows |
| Encabezado | wincrypt.h |
| Library | Crypt32.lib |
| Archivo DLL | Crypt32.dll |
Consulte también
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de