SCH_CREDENTIALS Struktur (schannel.h)
Die SCH_CREDENTIALS Struktur enthält Initialisierungsinformationen für schannel-Anmeldeinformationen.
Syntax
typedef struct _SCH_CREDENTIALS {
DWORD dwVersion;
DWORD dwCredFormat;
DWORD cCreds;
PCCERT_CONTEXT *paCred;
HCERTSTORE hRootStore;
DWORD cMappers;
_HMAPPER **aphMappers;
struct _HMAPPER;
DWORD dwSessionLifespan;
DWORD dwFlags;
DWORD cTlsParameters;
PTLS_PARAMETERS pTlsParameters;
} SCH_CREDENTIALS, *PSCH_CREDENTIALS;
Angehörige
dwVersion
Auf SCH_CREDENTIALS_VERSION festgelegt.
dwCredFormat
Kernelmodus Schannel unterstützt die folgenden Werte.
Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP und Windows XP/2000: Dieses Flag wird nicht unterstützt und muss null sein.
Wert | Bedeutung |
---|---|
|
Das paCred- Element der übergebenen SCH_CREDENTIALS-Struktur muss ein Zeiger auf ein Bytearray der Länge 20 sein, das den Zertifikatfingerabdruck enthält. Das Zertifikat wird angenommen, dass es sich im Speicher "MY" des lokalen Computers befindet. |
|
Das paCred- Element der SCH_CREDENTIALS-Struktur verweist auf eine SCHANNEL_CERT_HASH_STORE Struktur. |
cCreds
Die Anzahl der Strukturen im paCred-Array.
paCred
Ein Array von Zeigern auf CERT_CONTEXT Strukturen. Jeder Zeiger gibt ein Zertifikat an, das einen privaten Schlüssel enthält, der bei der Authentifizierung der Anwendung verwendet werden soll.
Clientanwendungen übergeben häufig eine leere Liste und hängen entweder von Schannel ab, um ein entsprechendes Zertifikat zu finden oder später bei Bedarf ein Zertifikat zu erstellen.
hRootStore
Wahlfrei. Nur für Serveranwendungen gültig. Behandeln Sie einen Zertifikatspeicher, der selbstsignierte Stammzertifikate für zertifizierungsstellen (CAs) enthält, die von der Anwendung als vertrauenswürdig eingestuft werden. Dieses Mitglied wird nur von serverseitigen Anwendungen verwendet, die eine Clientauthentifizierung erfordern.
cMappers
Reserviert.
aphMappers
Reserviert.
_HMAPPER
dwSessionLifespan
Die Anzahl der Millisekunden, die Schannel die Sitzung im Sitzungscache speichert. Nach ablauf dieser Zeit benötigen alle neuen Verbindungen zwischen dem Client und dem Server eine neue Schannel-Sitzung. Legen Sie den Wert dieses Elements auf Null fest, um den Standardwert von 360000000 Millisekunden (zehn Stunden) zu verwenden.
dwFlags
Enthält Bitkennzeichnungen, die das Verhalten von Schannel steuern. Dieses Element kann null oder eine Kombination der folgenden Werte sein.
Wert | Bedeutung |
---|---|
|
Nur Client.
Diese Kennzeichnung ist das Gegenteil von SCH_CRED_MANUAL_CRED_VALIDATION und ist Teil des Standardverhaltens von Schannel. |
|
Weisen Sie Schannel an, das CERT_CHAIN_CACHE_ONLY_URL_RETRIEVAL Flag an die CertGetCertificateChain--Funktion zu übergeben, wenn die angegebenen Anmeldeinformationen während eines Aufrufs von AcquireCredentialsHandle (Schannel)überprüft werden.
Windows Server 2003 und Windows XP/2000: Dieses Flag wird nicht unterstützt. |
|
Nur Server.
Wenn diese Kennzeichnung festgelegt ist, lassen vollständige Handshakes, die mit diesen Anmeldeinformationen ausgeführt werden, keine erneute Verbindung zu. Es wird ein Cacheeintrag erstellt, sodass die Sitzung später mithilfe der ApplyControlToken--Funktion fortgesetzt werden kann. |
|
Ignorieren Sie bei der Überprüfung auf widerrufene Zertifikate CRYPT_E_NO_REVOCATION_CHECK Fehler. Weitere Einschränkungen finden Sie in den Anmerkungen. |
|
Ignorieren Sie bei der Überprüfung auf widerrufene Zertifikate CRYPT_E_REVOCATION_OFFLINE Fehler. Weitere Einschränkungen finden Sie in den Anmerkungen. |
|
Nur Client.
Verhindern, dass Schannel die empfangene Serverzertifikatkette überprüft. |
|
Nur Client.
Verhindern Sie, dass Schannel versucht, automatisch eine Zertifikatkette für die Clientauthentifizierung bereitzustellen. |
|
Nur Client.
Verhindern Sie, dass Schannel den angegebenen Zielnamen mit den Antragstellernamen in Serverzertifikatenvergleicht. |
|
Nur Server.
Verhindern, dass Schannel die integrierten Systemzertifikatzuordnungsfunktionen verwendet, um Clientzertifikate einem Benutzerkonto zuzuordnen. |
|
Überprüfen Sie beim Überprüfen einer Zertifikatkette alle Zertifikate auf sperrung. Weitere Einschränkungen finden Sie in den Anmerkungen. |
|
Überprüfen Sie beim Überprüfen einer Zertifikatkette nicht den Stamm auf sperrung. Weitere Einschränkungen finden Sie in den Anmerkungen. |
|
Überprüfen Sie beim Überprüfen einer Zertifikatkette nur das letzte Zertifikat auf sperrung. Weitere Einschränkungen finden Sie in den Anmerkungen. |
|
Nur Client.
Schannel versucht, automatisch eine Zertifikatkette für die Clientauthentifizierung bereitzustellen. Dieser Wert ist das Gegenteil von SCH_CRED_NO_DEFAULT_CREDS. |
|
Weisen Sie Schannel an, Daten aufzuteilen, die in zwei separaten Datensätzen verschlüsselt werden sollen, um Schwäche zu bekämpfen, die im SSL/TLS-Protokoll vorhanden sind, wenn sie mit symmetrischen Chiffrechiffre-Suite mithilfe des Verschlüsselungsblockverkettungsmodus verwendet werden. Weitere Informationen finden Sie unter Sicherheitsanfälligkeit in SSL/TLS könnte die Offenlegung von Informationenzulassen.
Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP und Windows XP/2000: Dieses Flag wird nicht unterstützt. |
|
Schannel sendet das Stammzertifikat als Teil der Zertifikatnachricht.
Hinweis Das über das Netzwerk gesendete Stammzertifikat vom Schannel-Client oder -Server ist nicht vertrauenswürdig. Es sollte anhand eines vertrauenswürdigen Hashs des Stammzertifikats überprüft werden.
|
|
Weist Schannel an, bekannte schwache kryptografische Algorithmen, Verschlüsselungssammlungen und SSL/TLS-Protokollversionen zu deaktivieren, die andernfalls für eine bessere Interoperabilität aktiviert werden können. |
|
Weist Schannel an, nur PSK-Verschlüsselungssammlungen auszuwählen und alle anderen Verschlüsselungssammlungen zu deaktivieren. |
cTlsParameters
Die Anzahl der Einträge im pTlsParameters-Array.
Es ist ein Fehler, mehr als SCH_CRED_MAX_SUPPORTED_PARAMETERS anzugeben.
pTlsParameters
Array von Zeigern auf die TLS_PARAMETERS Strukturen, die ggf. TLS-Parametereinschränkungen angeben. Wenn keine Einschränkungen angegeben sind, werden die Systemstandardwerte verwendet. Es wird empfohlen, dass Anwendungen die Systemstandardwerte verwenden.
Es ist ein Fehler, mehrere TLS_PARAMETERS Struktur mit cAlpnIds zu einschließen == 0 und rgstrAlpnIds == NULL.
Bemerkungen
Um die SCH_CREDENTIALS-Struktur zu verwenden, definieren Sie SCHANNEL_USE_BLACKLISTS zusammen mit UNICODE_STRING und PUNICODE_STRING. Alternativ können Sie ntdef.h, SubAuth.h oder Winternl.h einschließen.
Anforderungen
Anforderung | Wert |
---|---|
mindestens unterstützte Client- | Windows 10 1809 [nur Desktop-Apps] |
mindestens unterstützte Server- | Windows Server 1809 [Nur Desktop-Apps] |
Header- | schannel.h |