手动验证 Schannel 凭据

默认情况下，Schannel 通过调用 WinVerifyTrust 函数来验证服务器证书;但是，如果使用 ISC_REQ_MANUAL_CRED_VALIDATION 标志禁用此功能，则必须验证尝试建立其标识的服务器提供的证书。

若要手动验证服务器证书，必须先获取它。 使用 QueryContextAttributes (General) 函数并指定 SECPKG_ATTR_REMOTE_CERT_CONTEXT 属性值。 此属性返回 CERT_CONTEXT 结构，其中包含服务器提供的证书链。 此证书链包含叶证书。 它称为叶证书，因为它是证书链中的最后一个证书，并且离 根证书最远。 SSPI 上下文缓冲区中的证书排序并不意味着任何证书链接关系。

使用叶证书必须验证以下内容：

• 证书链已完成，根证书来自受信任的 证书颁发机构 (CA) 。
• 当前时间不会超过证书链中每个证书的开始和结束日期。
• 证书链中的证书均未吊销。
• 叶证书的深度不大于证书扩展中指定的最大允许深度。 仅当指定了深度时才需要此检查。
• 证书的使用是正确的，例如，不应使用 客户端证书 对服务器进行身份验证。
• 对于服务器身份验证，服务器叶证书中包含的服务器标识与客户端尝试联系的服务器匹配。 通常，客户端会将证书的“使用者名称”字段中的某些项与服务器的 IP 地址或 DNS 名称匹配。