什么是DefaultCertCheckMode用于?

时间:2018-02-05 13:24:54

标签: ssl winapi https

HTTP_SERVICE_CONFIG_SSL_PARAM结构定义了一个名为DWORD的{​​{1}}字段。由于我只有一些关于SSL证书的背景知识,我想了解特定字段有哪些影响...什么是客户端证书撤销检查?在以编程方式为某些URL保留注册SSL端口绑定时,我可以安全地忽略该字段吗?

1 个答案:

答案 0 :(得分:1)

在验证证书的过程中,除了验证签名,日期和父证书外,您可以做的一件事情是检查证书是否已被撤销。您将执行以下操作的方式:

  • 每个证书应该嵌入指向其证书吊销列表(CRL)的URL
  • 您将从URL或以下位置获取此CRL:
  • 您将访问CRL的缓存副本
  • 然后您将在CRL中查找证书的序列号。如果找到,则证书已被吊销并且必须无效。

关于DefaultCertCheckMode,其可能的值为:

  • 0:执行上述撤销检查。
  • 1:请勿执行吊销检查。
  • 2:对缓存的CRL执行吊销检查。
  • 4:执行吊销检查,并使用DefaultRevocationFreshnessTime刷新缓存(这表示检查更新的CRL的秒数)。
  • 0x10000:不执行使用情况检查。

由您决定是否要使用此设置,具体取决于服务器配置,CRL的可用性,它们是否实际维护等。

相关问题
最新问题