Compartir a través de

estructura CERT_USAGE_MATCH (wincrypt.h)

  • Artículo

La estructura de CERT_USAGE_MATCH proporciona criterios para identificar los certificados de emisor que se usarán para crear una cadena de certificados.

Sintaxis

typedef struct _CERT_USAGE_MATCH {
  DWORD             dwType;
  CERT_ENHKEY_USAGE Usage;
} CERT_USAGE_MATCH, *PCERT_USAGE_MATCH;

Miembros

dwType

Determina el tipo de coincidencia del emisor que se va a realizar. En la lógica AND , el certificado debe cumplir todos los criterios. En la lógica OR , el certificado debe cumplir al menos uno de los criterios. Los códigos siguientes se definen para determinar la lógica usada en la coincidencia. Para obtener más información sobre cómo se aplica, vea Comentarios.

Valor Significado
USAGE_MATCH_TYPE_AND
 Lógica AND
USAGE_MATCH_TYPE_OR
 Lógica OR
 

La lógica de coincidencia de uso predeterminada es USAGE_MATCH_TYPE_AND.

Usage

CERT_ENHKEY_USAGE estructura (CERT_ENHKEY_USAGE es un nombre de definición de tipo alternativo para la estructura CTL_USAGE ) que incluye una matriz de identificadores de objeto de certificado (OID) que un certificado debe coincidir para poder ser válido.

Comentarios

Si el miembro dwType está establecido en USAGE_MATCH_TYPE_OR, el miembro Usage no puede estar vacío.

Si el miembro dwType se establece en USAGE_MATCH_TYPE_AND, un miembro Usage vacío significa que cualquier uso anidado en la cadena funcionará.

A continuación se describe el comportamiento dado dos extensiones de uso mejorado de clave (EKU) EKU A y EKU B.

LÓGICA AND

Si el autor de la llamada especifica EKU A AND EKU B, el certificado de destino es válido si cada certificado de la ruta de acceso admite EKU A y EKU B (ya sea mediante una configuración explícita de EKU o a través de una extensión de EKU ausente en los certificados de CA).

Lógica OR

Si el autor de la llamada especifica EKU A O EKU B, el certificado de destino es válido si se admite EKU A o EKU B en la ruta de acceso.

Además del caso sencillo en el que los certificados de la ruta de acceso contienen EKU A o EKU B, la cláusula OR tiene la siguiente evaluación especial.

Dada la siguiente ruta de acceso, la prueba OR se considera válida:

Aunque la intersección de las EKU de la cadena es un conjunto vacío, el uso del certificado EE es válido para EKU A porque la solicitud a la API de criptografía especifica que el certificado es válido si cada certificado de la ruta de acceso admite EKU A O EKU B.

Requisitos

Requisito Value
Cliente mínimo compatible Windows XP [solo aplicaciones de escritorio]
Servidor mínimo compatible Windows Server 2003 [solo aplicaciones de escritorio]
Encabezado wincrypt.h