使用憑證存放區管理憑證
一段時間後, 憑證 將會累積在使用者的電腦上。 管理這些憑證需要工具。 CryptoAPI 提供這些工具作為儲存、擷取、刪除、列出 (列舉) ,以及驗證憑證的功能。 CryptoAPI 也提供將憑證附加至訊息的方法。
CryptoAPI 提供兩個主要類別的函式來管理憑證:管理 憑證存放區的函式,以及使用憑證的函式、 憑證撤銷清單 () CRL,以及 憑證信任清單 (CTL) 在這些存放區內。
管理 憑證存放區的 函式包括用於處理邏輯或 虛擬存放區的函式、 遠端存放區、 外部存放區,以及可重新放置的存放區。
憑證、 CRL和 CTL 可以在 憑證存放區中保留和維護。 您可以從保存的存放區擷取它們,以用於驗證程式。
憑證存放區是所有憑證功能的核心。 憑證是使用具有 「Cert」 前置詞的函式在存放區中管理。 典型的憑證存放區是憑證的連結清單,如下圖所示。
上圖顯示:
- 每個 憑證存放區 都有該存放區中第一個證書區塊的指標。
- 憑證區塊包含該憑證資料的指標,以及存放區中下一個憑證區塊的「下一個」指標。
- 最後一個憑證區塊中的 「next」 指標會設定為 Null。
- 憑證的資料區塊包含唯讀憑證內容和憑證的任何擴充屬性。
- 每個憑證的資料區塊都包含 參考計數 ,可追蹤存在之憑證的指標數目。
憑證存放區中的憑證通常會保留在某種永久儲存體中,例如磁片檔案或系統登錄。 您也可以在記憶體中建立和開啟憑證存放區。 記憶體存放區會提供暫存憑證儲存體,以使用不需要保留的憑證。
其他存放區位置可讓存放區保留在本機電腦登錄的各個部分,或在遠端電腦的登錄中設定適當的許可權。
每個使用者都有個人「我的」存放區,其中儲存該使用者的憑證。 我的存放區可以位於許多實體位置的任一位置,包括本機或遠端電腦上的登錄、磁片檔案、資料庫、目錄服務、 智慧卡或其他位置。 雖然任何憑證都可以儲存在我的存放區中,但此存放區應保留給使用者的個人憑證:用於簽署和解密該使用者訊息的憑證。
使用憑證進行驗證取決於擁有某些受信任憑證簽發者的憑證。 受信任憑證簽發者的憑證通常會保留在根存放區中,其目前會保存到登錄子機碼。 在 CryptoAPI 內容中,根存放區受到保護,而使用者介面對話方塊會提醒使用者只將受信任的憑證放入該存放區。 在商業網路情況下,系統管理員可能會將憑證推送 (複製) ,從網域控制站電腦複製到用戶端電腦上的根存放區。 此程式會提供具有類似信任清單之網域的所有成員。
其他憑證可以儲存在 憑證授權單位單位 (CA) 系統存放區或使用者建立的檔案型存放區中。
如需使用和維護憑證存放區的函式清單,請參閱 憑證存放區函式。
如需使用其中一些函式的範例,請參閱 範例 C 程式:憑證存放區作業。
相關主題