我有一个 C++ 应用程序,它与我们的一台服务器建立 HTTPS 连接。
在我的理想世界中,我希望发生以下情况:

  • 应用程序启动
  • 应用程序使 Windows 信任服务器的根 CA(请不要使用 GUI,只需系统调用)
  • 应用程序与服务器对话,执行其工作等。
  • 应用程序让 windows 忘记服务器的根 CA
  • 完成

  • 我不希望这个根 CA 一定被其他应用程序信任。因此我不想在系统范围内安装证书。
    如果用户不需要管理员权限,我也喜欢它。

    我最初的计划是创建一个内存 (CERT_STORE_PROV_MEMORY) 存储,将我的证书添加到其中,然后使用 CertAddStoreToCollection 将该内存存储添加到系统存储。

    虽然所有 CryptoAPI 函数调用都成功,但 WinHttp 并不喜欢它。

    这是我正在做的事情的骨架 - 也许有人知道一个技巧?
    或者,也许这首先是错误的?
    hMemStore = CertOpenStore(CERT_STORE_PROV_MEMORY, ...);
    pCert = CertCreateCertificateContext(..., pCertBytes, ...);
    CertAddCertificateContextToStore(hMemStore, pCert, ...);
    hRootStore = CertOpenSystemStore(NULL, "ROOT");
    CertAddStoreToCollection(hRootStore, hMemStore, ...);
    
    // Then later on...
    WinHttpSendRequest(...)
    

    一些注意事项:
  • 当我使用 WinHttp 的 SECURITY_FLAG_IGNORE_UNKNOWN_CA 时一切正常,所以我很确定这确实是问题所在。
  • 我已经看到了 this SO question - 它很接近,但没有解决在应用程序运行时仅暂时信任证书的问题。

  • 谢谢!

    最佳答案

    由于您不希望其他应用程序信任此证书,因此您需要自己进行部分证书验证。使用选项 SECURITY_FLAG_IGNORE_UNKNOWN_CA 禁用 CA 检查,然后获取连接到服务器 WINHTTP_CALLBACK_STATUS_CONNECTING_TO_SERVER 的回调。在该回调中,使用 WINHTTP_OPTION_SERVER_CERT_CONTEXT 获取证书并进行验证。如果不是您想要的人,请取消/关闭请求,如果正确则继续请求。

    关于c - WinHttp:如何使用临时证书存储?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/1557710/

    10-12 07:35
    查看更多