struktur CERT_CHAIN_ENGINE_CONFIG (wincrypt.h)

Artikel
08/27/2023

Struktur CERT_CHAIN_ENGINE_CONFIG menetapkan parameter untuk membangun mesin rantai sertifikat non-default. Mesin yang digunakan menentukan cara rantai sertifikat dibangun.

Sintaks

typedef struct _CERT_CHAIN_ENGINE_CONFIG {
  DWORD      cbSize;
  HCERTSTORE hRestrictedRoot;
  HCERTSTORE hRestrictedTrust;
  HCERTSTORE hRestrictedOther;
  DWORD      cAdditionalStore;
  HCERTSTORE *rghAdditionalStore;
  DWORD      dwFlags;
  DWORD      dwUrlRetrievalTimeout;
  DWORD      MaximumCachedCertificates;
  DWORD      CycleDetectionModulus;
  HCERTSTORE hExclusiveRoot;
  HCERTSTORE hExclusiveTrustedPeople;
  DWORD      dwExclusiveFlags;
} CERT_CHAIN_ENGINE_CONFIG, *PCERT_CHAIN_ENGINE_CONFIG;

Anggota

cbSize

Ukuran struktur ini dalam byte.

hRestrictedRoot

Parameter konfigurasi ini dapat digunakan untuk membatasi penyimpanan akar. Jika digunakan, ini dapat menjadi handel dari HCERTSTORE apa pun yang hanya berisi subset sertifikat yang tepat di penyimpanan akar.

hRestrictedTrust

Pegangan penyimpanan. Jika digunakan, membatasi penyimpanan yang dicari untuk menemukan CTL.

hRestrictedOther

Pegangan penyimpanan. Jika digunakan, membatasi penyimpanan yang dicari untuk sertifikat dan CRL.

cAdditionalStore

Jumlah penyimpanan tambahan yang akan dicari untuk sertifikat dan CRL yang diperlukan untuk membangun rantai.

rghAdditionalStore

Penunjuk ke array handel penyimpanan untuk setiap penyimpanan tambahan yang akan dicari dalam rantai bangunan.

dwFlags

Bendera berikut ditentukan.

Nilai	Makna
CERT_CHAIN_CACHE_END_CERT 0x00000001	Informasi di sertifikat akhir di-cache. Secara default, informasi di semua sertifikat kecuali sertifikat akhir di-cache saat rantai dibuat. Mengatur bendera ini memperluas penembolokan ke sertifikat akhir.
CERT_CHAIN_CACHE_ONLY_URL_RETRIEVAL 0x00000004	Gunakan HANYA URL yang di-cache dalam membangun rantai sertifikat. Internet dan intranet tidak dicari untuk objek berbasis URL.
CERT_CHAIN_USE_LOCAL_MACHINE_STORE 0x00000008	Bangun rantai menggunakan lokasi registri LocalMachine dibandingkan dengan lokasi CurrentUser.
CERT_CHAIN_ENABLE_CACHE_AUTO_UPDATE 0x00000010	Aktifkan pembaruan otomatis cache saat rantai sedang dibangun.
CERT_CHAIN_ENABLE_SHARE_STORE 0x00000020	Izinkan penyimpanan sertifikat yang digunakan untuk membangun rantai yang akan dibagikan.
CERT_CHAIN_DISABLE_AIA 0x00002000	Nonaktifkan pengambilan Authority Information Access (AIA) secara eksplisit.

dwUrlRetrievalTimeout

Jumlah milidetik sebelum waktu habis untuk pengambilan objek URL berbasis jaringan. Dapat diatur ke nol untuk menggunakan batas default.

MaximumCachedCertificates

Batasi jumlah sertifikat yang dapat di-cache sebagai rantai dibangun. Dapat diatur ke 0 untuk menggunakan batas default.

CycleDetectionModulus

Jumlah sertifikat yang ditambahkan ke rantai sebelum pemeriksaan dilakukan untuk menentukan apakah ada siklus sertifikat dalam rantai. Siklus dapat didefinisikan sebagai memiliki sertifikat yang sama di dua tempat berbeda dalam rantai.

Semakin rendah angkanya, semakin sering pemeriksaan akan dilakukan. Pemeriksaan ekstra untuk siklus sertifikat akan memperlambat prosesnya secara besar-besaran. Parameter ini dapat diatur ke nol untuk menggunakan batas default.

hExclusiveRoot

Tangani ke penyimpanan sertifikat yang berisi jangkar kepercayaan eksklusif. Jika anggota hExclusiveRoot atau hExclusiveTrustedPeople menunjuk ke penyimpanan yang valid, mode kepercayaan eksklusif digunakan untuk pembangunan rantai.

Windows 7 dan Windows Server 2008 R2: Dukungan untuk anggota ini dimulai.

hExclusiveTrustedPeople

Tangani ke penyimpanan sertifikat yang berisi sertifikat tepercaya serekan khusus aplikasi. Jika anggota hExclusiveRoot atau hExclusiveTrustedPeople menunjuk ke penyimpanan yang valid, mode kepercayaan eksklusif digunakan untuk pembangunan rantai.

Windows 7 dan Windows Server 2008 R2: Dukungan untuk anggota ini dimulai.

dwExclusiveFlags

Bendera berikut dapat diatur. Bendera hanya berlaku jika hExclusiveRoot atau hExclusiveTrustedPeople atau keduanya bukan NULL.

Windows 8 dan Windows Server 2012: Dukungan untuk anggota ini dimulai.

Nilai	Makna
CERT_CHAIN_EXCLUSIVE_ENABLE_CA_FLAG 0x00000001	Menunjukkan bahwa sertifikat OS perantara yang tidak ditandatangani sendiri di penyimpanan hExclusiveRoot harus diperlakukan sebagai jangkar kepercayaan selama validasi sertifikat. Jika sertifikat berantai hingga CA ini, pembuatan rantai dihentikan dan sertifikat dianggap tepercaya. Tidak ada verifikasi tanda tangan atau pemeriksaan pencabutan yang dilakukan pada sertifikat CA. Secara default, jika bendera ini tidak diatur, hanya sertifikat yang ditandatangani sendiri di penyimpanan hExclusiveRoot yang diperlakukan sebagai jangkar kepercayaan. Lihat juga nilai CERT_TRUST_IS_CA_TRUSTED dalam struktur CERT_TRUST_STATUS .

Nilai

Makna

CERT_CHAIN_EXCLUSIVE_ENABLE_CA_FLAG
0x00000001

Menunjukkan bahwa sertifikat OS perantara yang tidak ditandatangani sendiri di penyimpanan hExclusiveRoot harus diperlakukan sebagai jangkar kepercayaan selama validasi sertifikat. Jika sertifikat berantai hingga CA ini, pembuatan rantai dihentikan dan sertifikat dianggap tepercaya. Tidak ada verifikasi tanda tangan atau pemeriksaan pencabutan yang dilakukan pada sertifikat CA.

Secara default, jika bendera ini tidak diatur, hanya sertifikat yang ditandatangani sendiri di penyimpanan hExclusiveRoot yang diperlakukan sebagai jangkar kepercayaan.

Lihat juga nilai CERT_TRUST_IS_CA_TRUSTED dalam struktur CERT_TRUST_STATUS .

Keterangan

Mesin pembuatan rantai menggunakan empat penyimpanan sertifikat dalam rantai bangunan. Ini adalah hRoot, hWorld, hTrust, dan hOther. Handel penyimpanan ini dibuat dengan menggunakan informasi dalam struktur ini ketika mesin rantai dibuat.

hRoot adalah handel penyimpanan dari hRestrictedRoot atau, jika hRestrictedRootadalah NULL, handel untuk Penyimpanan Sistem "Root."

hWorld adalah penyimpanan sertifikat koleksi termasuk toko saudara kandung hRoot, "CA," "My," "Trust," dan setiap toko tambahan yang handelnya berada dalam array yang diarahkan oleh rghAdditionalStore.

hTrust adalah handel penyimpanan dari hRestrictedTrust atau, jika hRestrictedTrust adalah NULL, hWorld.

hOther adalah hRestrictedOther plus hRoot atau, jika hRestrictedTrustnon-NULL, penyimpanan koleksi hWorld ditambah handel toko dari hRestrictedTrust.

Mode kepercayaan eksklusif memungkinkan aplikasi menentukan jangkar kepercayaan dan sertifikat tepercaya serekan untuk validasi rantai sertifikat. Dalam mode kepercayaan eksklusif, penyimpanan akar dan penyimpanan orang tepercaya pada sistem diabaikan, dan jangkar dan sertifikat yang diacu oleh anggota hExclusiveRoot dan hExclusiveTrustedPeople digunakan sebagai gantinya.

Persyaratan


Klien minimum yang didukung	Windows XP [hanya aplikasi desktop]
Server minimum yang didukung	Windows Server 2003 [hanya aplikasi desktop]
Header	wincrypt.h

Lihat juga

CERT_TRUST_STATUS

CertCreateCertificateChainEngine

Bagikan melalui