Freigeben über

CERT_USAGE_MATCH-Struktur (wincrypt.h)

  • Artikel

Die CERT_USAGE_MATCH-Struktur enthält Kriterien für die Identifizierung von Ausstellerzertifikaten, die zum Erstellen einer Zertifikatkette verwendet werden sollen.

Syntax

typedef struct _CERT_USAGE_MATCH {
  DWORD             dwType;
  CERT_ENHKEY_USAGE Usage;
} CERT_USAGE_MATCH, *PCERT_USAGE_MATCH;

Member

dwType

Bestimmt die Art des Ausstellerabgleichs, der durchgeführt werden soll. In der AND-Logik muss das Zertifikat alle Kriterien erfüllen. In der OR-Logik muss das Zertifikat mindestens eines der Kriterien erfüllen. Die folgenden Codes werden definiert, um die in der Übereinstimmung verwendete Logik zu bestimmen. Weitere Informationen dazu, wie dies angewendet wurde, finden Sie unter Hinweise.

Wert Bedeutung
USAGE_MATCH_TYPE_AND
 AND-Logik
USAGE_MATCH_TYPE_OR
 OR-Logik
 

Die Standardmäßige Übereinstimmungslogik für die Verwendung ist USAGE_MATCH_TYPE_AND.

Usage

CERT_ENHKEY_USAGE-Struktur (CERT_ENHKEY_USAGE ist ein alternativer Typdefinitionsname für die CTL_USAGE-Struktur ), die ein Array von Zertifikatobjektbezeichnern (OIDs) enthält, die ein Zertifikat übereinstimmen muss, um gültig zu sein.

Hinweise

Wenn das dwType-Element auf USAGE_MATCH_TYPE_OR festgelegt ist, darf das Usage-Element nicht leer sein.

Wenn das dwType-Element auf USAGE_MATCH_TYPE_AND festgelegt ist, bedeutet ein leeres Usage-Element , dass jede geschachtelte Verwendung in der Kette funktioniert.

Im Folgenden wird das Verhalten der beiden Erweiterten Schlüsselverwendung (Enhanced Key Usage, EKU) EKU A und EKU B beschrieben.

AND-Logik

Wenn der Aufrufer EKU A UND EKU B angibt, ist das Zielzertifikat gültig, wenn EKU A und EKU B von jedem Zertifikat im Pfad unterstützt werden (entweder durch eine explizite EKU-Einstellung oder durch eine fehlende EKU-Erweiterung in Zertifizierungsstellenzertifikaten).

OR-Logik

Wenn der Aufrufer EKU A ODER EKU B angibt, ist das Zielzertifikat gültig, wenn EKU A oder EKU B im Pfad unterstützt wird.

Neben dem einfachen Fall, in dem die Zertifikate im Pfad EKU A oder EKU B enthalten, verfügt die OR-Klausel über die folgende spezielle Auswertung.

Bei folgendem Pfad gilt der OR-Test als gültig:

Obwohl die Schnittmenge der EKUs in der Kette eine leere Menge ist, ist die Verwendung des EE-Zertifikats für EKU A gültig, da die Anforderung an die Kryptografie-API angibt, dass das Zertifikat gültig ist, wenn jedes Zertifikat des Pfads EKU A oder EKU B unterstützt.

Anforderungen

Anforderung Wert
Unterstützte Mindestversion (Client) Windows XP [nur Desktop-Apps]
Unterstützte Mindestversion (Server) Windows Server 2003 [nur Desktop-Apps]
Kopfzeile wincrypt.h