ProtectKeyWithCertificateFile-Methode der Win32_EncryptableVolume-Klasse

  • Artikel

Die ProtectKeyWithCertificateFile-Methode der Win32_EncryptableVolume-Klasse überprüft den EKU-Objektbezeichner (Enhanced Key Usage) des bereitgestellten Zertifikats.

Syntax

uint32 ProtectKeyWithCertificateFile(
  [in, optional] string FriendlyName,
  [in]           string FileName,
  [out]          string VolumeKeyProtectorID
);

Parameter

FriendlyName [in, optional]

Typ: Zeichenfolge

Eine Zeichenfolge, die einen vom Benutzer zugewiesenen Zeichenfolgenbezeichner für diesen Schlüsselschutz angibt. Wenn dieser Parameter nicht angegeben ist, wird der FriendlyName-Parameter mithilfe des Antragstellernamens im Zertifikat erstellt.

FileName [in]

Typ: Zeichenfolge

Eine Zeichenfolge, die den Speicherort und den Namen der CER-Datei angibt, die zum Aktivieren von BitLocker verwendet wird. Ein Verschlüsselungszertifikat muss im CER-Format (Distinguished Encoding Rules (DER)-codiert binär X.509 oder Base-64-codiert X.509 exportiert werden. Das Verschlüsselungszertifikat kann von Microsoft PKI, PKI von Drittanbietern oder selbstsigniert generiert werden.

VolumeKeyProtectorID [out]

Typ: Zeichenfolge

Eine Zeichenfolge, die den erstellten Schlüsselschutz eindeutig identifiziert, der zum Verwalten dieser Schlüsselschutzvorrichtung verwendet werden kann.

Wenn das Laufwerk die Hardwareverschlüsselung unterstützt und BitLocker keinen Bandbesitz übernommen hat, wird die ID-Zeichenfolge auf "BitLocker" festgelegt, und der Schlüsselschutz wird pro Band in Metadaten geschrieben.

Rückgabewert

Typ: uint32

Diese Methode gibt einen der folgenden Codes oder einen anderen Fehlercode zurück, wenn ein Fehler auftritt.

Rückgabecode/-wert BESCHREIBUNG
S_OK
0 (0x0)
 Die Methode war erfolgreich.
FVE_E_NON_BITLOCKER_OID
2150695022 (0x8031006E)
 Das EKU-Attribut des angegebenen Zertifikats lässt die Verwendung für die BitLocker-Laufwerkverschlüsselung nicht zu. BitLocker erfordert nicht, dass ein Zertifikat über ein EKU-Attribut verfügt, aber wenn eines konfiguriert ist, muss es auf eine OID festgelegt werden, die mit der für BitLocker konfigurierten OID übereinstimmt.
FVE_E_POLICY_USER_CERTIFICATE_NOT_ALLOWED
2150695026 (0x80310072)
 Gruppenrichtlinie lässt die Verwendung von Benutzerzertifikaten, z. B. Smartcards, nicht mit BitLocker zu.
FVE_E_POLICY_USER_CERT_MUST_BE_HW
2150695028 (0x80310074)
 Gruppenrichtlinie erfordert, dass Sie eine intelligente Karte bereitstellen, um BitLocker zu verwenden.
FVE_E_POLICY_PROHIBITS_SELFSIGNED
2150695046 (0x80310086)
 Gruppenrichtlinie lässt die Verwendung von selbstsignierten Zertifikaten nicht zu.
ERROR_FILE_NOT_FOUND
0000000002 (0x2)
 Das System kann die angegebene Datei nicht finden.

 

Bemerkungen

Wenn die OID nicht mit der OID übereinstimmt, die dem Dienstcontroller in der Registrierung zugeordnet ist, schlägt diese Methode fehl. Dadurch wird verhindert, dass der Benutzer DRA-Schutzvorrichtungen (Data Recovery Agent) manuell auf dem Volume festlegt. DRAs müssen nur vom Dienst festgelegt werden.

Anforderungen

Anforderung Wert
Unterstützte Mindestversion (Client)
 Windows 7 Enterprise, Windows 7 Ultimate [nur Desktop-Apps]
Unterstützte Mindestversion (Server)
 Windows Server 2008 R2 [nur Desktop-Apps]
Namespace
 Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof

Weitere Informationen

Win32_EncryptableVolume