Win32_EncryptableVolume类的 ProtectKeyWithCertificateFile 方法

Win32_EncryptableVolume类的 ProtectKeyWithCertificateFile 方法验证提供的证书的 OID) 增强型密钥用法 (EKU) 对象 (标识符

语法

uint32 ProtectKeyWithCertificateFile(
  [in, optional] string FriendlyName,
  [in]           string FileName,
  [out]          string VolumeKeyProtectorID
);

参数

FriendlyName [in, 可选]

类型: 字符串

一个字符串,指定此密钥保护程序的用户分配的字符串标识符。 如果未指定此参数,则使用证书中的使用者名称创建 FriendlyName 参数。

FileName [in]

类型: 字符串

一个字符串,指定用于启用 BitLocker 的 .cer 文件的位置和名称。 加密证书必须以 .cer 格式导出 (可辨别编码规则 (DER) 编码的二进制 X.509 或 Base-64 编码的 X.509) 。 加密证书可以从 Microsoft PKI、第三方 PKI 或自签名生成。

VolumeKeyProtectorID [out]

类型: 字符串

一个字符串,用于唯一标识可用于管理此密钥保护程序的已创建的密钥保护程序。

如果驱动器支持硬件加密且 BitLocker 尚未获取带所有权,则 ID 字符串设置为“BitLocker”,并且密钥保护程序将写入每个带元数据。

返回值

类型: uint32

如果此方法失败,此方法将返回以下代码之一或其他错误代码。

返回代码/值 说明
S_OK
0 (0x0)
该方法成功。
FVE_E_NON_BITLOCKER_OID
2150695022 (0x8031006E)
指定证书的 EKU 属性不允许它用于 BitLocker 驱动器加密。 BitLocker 不需要证书具有 EKU 属性,但如果已配置证书,则必须将其设置为与为 BitLocker 配置的 OID 匹配的 OID。
FVE_E_POLICY_USER_CERTIFICATE_NOT_ALLOWED
2150695026 (0x80310072)
组策略不允许用户证书(如智能卡)与 BitLocker 一起使用。
FVE_E_POLICY_USER_CERT_MUST_BE_HW
2150695028 (0x80310074)
组策略要求提供智能卡才能使用 BitLocker。
FVE_E_POLICY_PROHIBITS_SELFSIGNED
2150695046 (0x80310086)
组策略不允许使用自签名证书。
ERROR_FILE_NOT_FOUND
0000000002 (0x2)
系统找不到指定的文件。

 

备注

如果 OID 与注册表中的服务控制器关联的 OID 不匹配,此方法将失败。 这可以防止用户在卷上手动设置数据恢复代理 (DRA) 保护程序。 DRA 只能由服务设置。

要求

要求
最低受支持的客户端
Windows 7 企业版,Windows 7 旗舰版 [仅限桌面应用]
最低受支持的服务器
Windows Server 2008 R2 [仅限桌面应用]
命名空间
Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof

另请参阅

Win32_EncryptableVolume