Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk a tanúsítványok WinUI-alkalmazásokban való használatát ismerteti. A nyilvános kulcsok titkosítása során digitális tanúsítványokat használnak a nyilvános kulcsok személyhez, számítógéphez vagy szervezethez való kötéséhez. A kötött identitásokat leggyakrabban az egyik entitás hitelesítésére használják. Például a tanúsítványokat gyakran használják arra, hogy a webkiszolgálót hitelesítsék egy felhasználó felé, és a felhasználót egy webkiszolgáló felé. Létrehozhat tanúsítványkérelmeket, és telepítheti vagy importálhatja a kiadott tanúsítványokat. Tanúsítványt tanúsítványhierarchiában is regisztrálhat.
Megosztott tanúsítványtárolók
A WinUI-alkalmazások a Windows 8-ban bevezetett új elkülönítési alkalmazásmodellt használják. Ebben a modellben az alkalmazások alacsony szintű operációsrendszer-szerkezetben , úgynevezett alkalmazástárolóban futnak, amely megakadályozza, hogy az alkalmazás önmagán kívül férhessen hozzá az erőforrásokhoz vagy fájlokhoz, kivéve, ha erre kifejezetten engedélyt ad. Az alábbi szakaszok a nyilvános kulcsú infrastruktúrára (PKI) gyakorolt hatásokat ismertetik.
Tanúsítványtárolás alkalmazástárolónként
Az adott alkalmazástárolóban való használatra szánt tanúsítványok felhasználónként, alkalmazástárolónként vannak tárolva. Az alkalmazástárolóban futó alkalmazások írási hozzáféréssel rendelkeznek csak a saját tanúsítványtárolójukhoz. Ha az alkalmazás tanúsítványokat ad hozzá valamelyik tárolóhoz, ezeket a tanúsítványokat más alkalmazások nem tudják olvasni. Ha eltávolít egy alkalmazást, az adott tanúsítványokat is eltávolítja a rendszer. Az alkalmazások olvasási hozzáféréssel rendelkeznek a saját és a KÉRELEM tárolótól eltérő helyi gépi tanúsítványtárolókhoz is.
Gyorsítótár
Minden alkalmazástároló rendelkezik egy elkülönített gyorsítótárral, amelyben tárolhatja az érvényesítéshez, a visszavont tanúsítványok listájához (CRL) és az online tanúsítványállapot-protokollhoz (OCSP) adott válaszokhoz szükséges kiállítói tanúsítványokat.
Megosztott tanúsítványok és kulcsok
Amikor egy intelligens kártyát beszúr egy olvasóba, a rendszer propagálja a kártyán található tanúsítványokat és kulcsokat a my store felhasználónak, ahol a felhasználó által futtatott teljes megbízhatóságú alkalmazás megoszthatja őket. Azonban alapértelmezés szerint az alkalmazás-konténerek nem férnek hozzá a felhasználói szintű MY tárolóhoz.
A probléma megoldásához és a felhasználói csoportok számára az erőforráscsoportok elérése érdekében az alkalmazás tárolóinak elkülönítési modellje támogatja a képességek koncepcióját. A képesség lehetővé teszi, hogy egy alkalmazástároló-folyamat hozzáférjen egy adott erőforráshoz. A sharedUserCertificates képesség olvasási hozzáférést biztosít az alkalmazástárolónak a felhasználó MY tárolójában és az Intelligens kártya megbízható gyökerek tárolójában található tanúsítványokhoz és kulcsokhoz. A funkció nem biztosít olvasási hozzáférést a felhasználói KÉRELEM tárolóhoz.
A jegyzékben meg kell adnia a sharedUserCertificates jogosultságot az alábbi példa szerint.
<Capabilities>
<Capability Name="sharedUserCertificates" />
</Capabilities>
Tanúsítványmezők
Az X.509 nyilvános kulcsú tanúsítvány szabványa idővel módosult. Az adatstruktúra minden egymást követő verziója megtartotta az előző verziókban meglévő mezőket, és további elemeket adott hozzá az alábbi ábrán látható módon.
Ezen mezők és bővítmények némelyike közvetlenül is megadható, ha a CertificateRequestProperties osztályt használja a tanúsítványkérelem létrehozásához. A legtöbb nem. Ezeket a mezőket a kiállító hatóság kitöltheti, vagy üresen hagyhatja őket. A mezőkkel kapcsolatos további információkért tekintse meg a következő szakaszokat:
1. verzió mezői
| szakterület | Leírás |
|---|---|
| Verzió | Megadja a kódolt tanúsítvány verziószámát. A mező lehetséges értékei jelenleg 0, 1 vagy 2. |
| Sorozatszám | A hitelesítésszolgáltató (CA) által a tanúsítványhoz rendelt pozitív, egyedi egész számot tartalmazza. |
| Aláírási algoritmus | Egy objektumazonosítót (OID) tartalmaz, amely meghatározza a hitelesítésszolgáltató által a tanúsítvány aláírásához használt algoritmust. Az 1.2.840.113549.1.1.5 például egy SHA-1 kivonatoló algoritmust határoz meg az RSA Laboratories RSA titkosítási algoritmusával kombinálva. |
| Issuer | A tanúsítványt létrehozó és aláíró hitelesítésszolgáltató X.500 megkülönböztető nevét (DN) tartalmazza. |
| Érvényesség | Azt az időtartamot adja meg, amely alatt a tanúsítvány érvényes. A 2049 végéig eltelt dátumok az összehangolt univerzális idő (Greenwich középidő) formátumot (ymmddhhmmssz) használják. A 2050. január 1-től kezdődő dátumok az általános időformátumot használják (yymmddhhmmssz). |
| Tárgy | A tanúsítványban található nyilvános kulcshoz társított entitás X.500 megkülönböztető nevét tartalmazza. |
| Nyilvános kulcs | Tartalmazza a nyilvános kulcsot és a társított algoritmus adatait. |
2. verzió mezői
Egy X.509 2-es verziójú tanúsítvány tartalmazza az 1. verzióban definiált alapmezőket, és hozzáadja a következő mezőket.
| szakterület | Leírás |
|---|---|
| Kiállító egyedi azonosítója | Egyedi értéket tartalmaz, amellyel egyértelművé teheti a hitelesítésszolgáltató X.500-nevét, ha a különböző entitások idővel újra felhasználják. |
| Tulajdonos egyedi azonosítója | Olyan egyedi értéket tartalmaz, amellyel a tanúsítvány X.500-beli neve egyértelművé teheti a tanúsítvány tárgyát, ha a különböző entitások idővel újra felhasználják. |
3. verziójú bővítmények
Egy X.509 3-es verziójú tanúsítvány tartalmazza az 1. és a 2. verzióban definiált mezőket, és hozzáadja a tanúsítványbővítményeket.
| szakterület | Leírás |
|---|---|
| Hatósági kulcsazonosító | Azonosítja a hitelesítésszolgáltató nyilvános kulcsát, amely megfelel a tanúsítvány aláírásához használt titkos hitelesítésszolgáltatói kulcsnak. |
| Alapvető korlátozások | Megadja, hogy az entitás használható-e hitelesítésszolgáltatóként, és ha igen, a tanúsítványlánc alatt található alárendelt hitelesítésszolgáltatók száma. |
| Tanúsítványszabályzatok | Meghatározza azokat a szabályzatokat, amelyek alapján a tanúsítványt kiállították, és hogy milyen célokra használható. |
| CRL terjesztési pontok | Az alaptanúsítvány-visszavonási lista (CRL) URI-ját tartalmazza. |
| Továbbfejlesztett kulcshasználat | Meghatározza, hogy a tanúsítványban található nyilvános kulcs milyen módon használható. |
| Kiállító alternatív neve | A tanúsítványkérelem kiállítójának egy vagy több alternatív névűrlapját adja meg. |
| Kulcshasználat | A tanúsítványban található nyilvános kulcs által végrehajtható műveletekre vonatkozó korlátozásokat határozza meg. |
| Névkorlátozások | Megadja azt a névteret, amelyen belül a tanúsítványhierarchiában lévő összes tulajdonosnévnek meg kell lennie. A bővítmény csak hitelesítésszolgáltatói tanúsítványban használható. |
| Szabályzatkorlátozások | Korlátozza az elérési utak érvényesítését azáltal, hogy megtiltja a szabályzatleképezést, vagy megköveteli, hogy a hierarchia minden tanúsítványa elfogadható szabályzatazonosítót tartalmazzon. A bővítmény csak hitelesítésszolgáltatói tanúsítványban használható. |
| Szabályzatleképezések | Az alárendelt hitelesítésszolgáltató azon szabályzatait adja meg, amelyek megfelelnek a kiállító hitelesítésszolgáltató házirendjeinek. |
| Titkos kulcs használati időszaka | A titkos kulcs érvényességi ideje eltér attól a tanúsítványtól, amelyhez a titkos kulcs társítva van. |
| Tárgy alternatív neve | Egy vagy több alternatív névűrlap megadása a tanúsítványkérelem tárgyához. Ilyenek például az e-mail-címek, a DNS-nevek, az IP-címek és az URI-k. |
| Tárgy címtárattribútumok | Olyan azonosítási attribútumokat közvetít, mint a tanúsítvány tulajdonosának állampolgársága. A bővítmény értéke OID-érték párok sorozata. |
| Tárgykulcs azonosítója | Megkülönbözteti a tanúsítvány tulajdonosának több nyilvános kulcsát. A bővítmény értéke általában a kulcs SHA-1 kivonata. |
Dolgozzon együtt velünk a GitHubon
A tartalom forrása a GitHubon található, ahol létrehozhat és áttekinthet problémákat és lekéréses kérelmeket is. További információért tekintse meg a közreműködői útmutatónkat.
Windows developer