Cadeias de certificados
Para usar certificados para segurança, a autenticidade e a validade de cada certificado recebido devem ser verificados. Essa verificação depende do conceito de confiança e da delegação de confiança; para obter mais informações, consulte Hierarquia de Confiança.
Cada certificado contém um campo de entidade que identifica o indivíduo ou grupo ao qual o certificado foi emitido. Cada certificado também contém um campo emissor que identifica a AC (autoridade de certificação ) capacitada para certificar a identidade do assunto.
Uma cadeia de certificados consiste em todos os certificados necessários para certificar a entidade identificada pelo certificado final. Na prática, isso inclui o certificado final, os certificados de ACs intermediárias e o certificado de uma AC raiz confiável por todas as partes na cadeia. Cada AC intermediária na cadeia contém um certificado emitido pela AC um nível acima dele na hierarquia de confiança. A AC raiz emite um certificado para si mesma.
O processo de verificação da autenticidade e validade de um certificado recém-recebido envolve verificar todos os certificados na cadeia de certificados da AC original e universalmente confiável, por meio de quaisquer ACs intermediárias, até o certificado recém-recebido, que é chamado de certificado final. Um novo certificado só poderá ser confiável se cada certificado na cadeia desse certificado for emitido corretamente e válido.
O acompanhamento de todos os certificados que dão suporte a um novo certificado final pode se tornar complicado. Portanto, a tecnologia CryptoAPI 2.0 fornece funções que automatizam a criação da cadeia de certificados que devolvem qualquer certificado final especificado. Essas funções também marcar e relatam a validade de cada certificado em uma cadeia.
As funções de criação e verificação de cadeia do CryptoAPI 2.0 usam um mecanismo de cadeia para criar e verificar cadeias de certificados. Um mecanismo de cadeia define um namespace de repositório e o particionamento de cache para a Infraestrutura de Encadeamento de Certificados. O CryptoAPI 2.0 fornece um mecanismo de cadeia padrão para qualquer processo de aplicativo que use apenas repositórios de sistema padrão (por exemplo, MY, Root, CA e Trust) para criação e cache de cadeia. Um aplicativo pode definir seu próprio namespace de loja ou ter seu próprio cache particionado criando seu próprio mecanismo de cadeia. Para obter o comportamento ideal de cache, recomendamos que você crie um único mecanismo de cadeia na inicialização do aplicativo e use esse mecanismo de cadeia durante todo o tempo de vida do aplicativo.
Para obter uma lista de funções, consulte Funções de verificação de cadeia de certificados. Para um programa que cria cadeias de certificados e verifica certificados, consulte Exemplo de Programa C: Criando uma cadeia de certificados.