4

我有一个 C++ 应用程序,它与我们的一台服务器建立 HTTPS 连接。在我的理想世界中,我希望发生以下情况:

  1. 应用程序启动
  2. 应用程序使 Windows 信任服务器的根 CA(请不要使用 GUI,只需系统调用)
  3. 应用程序与服务器对话,完成工作等。
  4. App让windows忘记了服务器的根CA
  5. 完毕

希望这个根 CA 一定会被其他应用程序信任。因此我不想在系统范围内安装证书。如果用户不需要管理员权限,我也希望它。

我最初的计划是创建一个内存 (CERT_STORE_PROV_MEMORY) 存储,将我的证书添加到其中,然后使用 CertAddStoreToCollection 将该内存存储添加到系统存储。

虽然所有 CryptoAPI 函数调用都成功,但 WinHttp 并不喜欢它。

这是我正在做的事情的骨架 - 也许有人知道一个技巧?或者也许这首先是错误的?

hMemStore = CertOpenStore(CERT_STORE_PROV_MEMORY, ...);
pCert = CertCreateCertificateContext(..., pCertBytes, ...);
CertAddCertificateContextToStore(hMemStore, pCert, ...);
hRootStore = CertOpenSystemStore(NULL, "ROOT");
CertAddStoreToCollection(hRootStore, hMemStore, ...);

// Then later on...
WinHttpSendRequest(...)

几点注意事项:

  • 当我使用 WinHttp 的 SECURITY_FLAG_IGNORE_UNKNOWN_CA 时一切正常,所以我很确定这确实是问题所在。
  • 我已经看到了这个 SO question - 它很接近,但没有解决在应用程序运行时使证书仅暂时受信任的问题。

谢谢!

4

1 回答 1

3

由于您不希望其他应用程序信任此证书,因此您需要自己进行部分证书验证。使用选项 SECURITY_FLAG_IGNORE_UNKNOWN_CA 禁用 CA 检查,然后获取回调以连接到服务器 WINHTTP_CALLBACK_STATUS_CONNECTING_TO_SERVER。在该回调中,使用 WINHTTP_OPTION_SERVER_CERT_CONTEXT 获取证书并进行验证。如果不是您想要的人,请取消/关闭请求,如果正确,请继续请求。

于 2009-11-05T16:39:10.420 回答