我正在尝试使用 X509Certificate2.Verify() (和/或它的 C++/CAPI 等效项)验证证书。
问题是,当 Internet Explorer 的连接设置指定需要身份验证的代理时,OCSP 检查将始终失败(操作系统无法检查证书是否未被吊销,因为它没有通过代理的凭据.)
Microsoft 有一个与此类似的 KB,但并没有真正提供任何类型的修复。 http://support.microsoft.com/kb/915787
即使我有凭据(用户名和密码),我也无法将它们传递给加密 API(在 .NET 或本机中)。
即使存在强制身份验证的系统默认代理,是否有允许验证证书的解决方案?
谢谢!
编辑:
微软的一些迹象表明这根本不可能:
“CryptoAPI 也可能无法向代理或缓存服务器进行身份验证,这些服务器需要基本身份验证才能到达指向 CRL 分发点的 HTTP URL。” http://technet.microsoft.com/en-us/library/bb457027.aspx#EFAA
“对某些程序中不使用 Windows 集成身份验证的代理服务器的身份验证可能会失败。出现此问题是因为 Winhttp.dll 进程是为非交互式服务设计的,并且不会提示用户输入网络凭据。” http://support.microsoft.com/kb/887196