OPM 憑證撤銷
Microsoft 可以撤銷 OPM) 憑證 (輸出保護管理員。 撤銷的憑證清單會儲存在全域撤銷清單中, (GRL) 。 GRL 的格式如下:
| 區段 | 描述 |
|---|---|
| 標頭 | GRL_HEADER結構。 |
| 核心 | 包含下列撤銷清單:
|
| 可延伸專案 | 包含其他元件所使用的資訊。 本節與 OPM 無關。 |
| 更新: | 包含定義Windows Update識別碼的 GUID。 本節包含下列清單的識別碼:
|
| 簽章:核心區段 | 簽署標頭和核心區段。 |
| 簽章:可延伸區段 | 簽署標頭和可延伸區段。 |
GRL 標頭是 GRL_HEADER 結構。 結構的 dwSequenceNumber 成員包含 GRL 版本號碼。 每當更新 GRL 並放置於使用者的電腦上新版本時,就會遞增此數位。
撤銷的 OPM 憑證會列在核心區段的憑證撤銷清單中。 GRL 中的每個核心專案都是 20 位元組陣列,其中包含已撤銷憑證公開金鑰的 SHA-1 雜湊。
[簽章] 區段包含可用來驗證 GRL 未遭竄改的簽章。 每個簽章區段都包含 am MF_SIGNATURE 結構。 第一個簽章會簽署標頭加上 Core 區段。 第二個簽章會簽署標頭加上 Extensible 區段;此簽章與 OPM 無關。
若要確保 GRL 本身尚未遭到竄改,請確認簽章,如下所示:
- 尋找 MF_SIGNATURE 結構的開頭。 MF_SIGNATURE結構的位置是在GRL_HEADER結構的cbSignatureCoreOffset成員中提供。 位置會指定為 GRL 開頭的位元組位移。
- 將 MF_SIGNATURE 結構剖析為具有憑證鏈結的 PKCS #7 簽章。
- 確認憑證鏈結到受信任的根目錄。
- 確認分葉憑證在 EKU 中具有下列物件識別碼:「1.3.6.1.4.1.311.10.5.4」。
- 計算包含 GRL 標頭和核心區段的位元組雜湊。
- 確認雜湊符合分葉憑證中的簽章。
相關主題