Durchführen der Authentifizierung mit Schannel

Alle Schannel-Protokolle erfordern, dass der Server ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA) als Nachweis seiner Identität bereitstellen muss. Dieser Prozess wird als Serverauthentifizierung bezeichnet. Die Clientauthentifizierung, bei der der Client einen Identitätsnachweis liefert, ist optional und kann jederzeit vom Server angefordert werden.

Authentifizieren des Servers

Das Standardverhalten von Schannel ist die Verwendung der WinVerifyTrust-Funktion, um die Integrität und den Besitz des Serverzertifikats zu überprüfen. Um dieses Feature zu deaktivieren, geben Sie ISC REQ MANUAL CRED VALIDATION an, wenn Sie die _ _ _ _ InitializeSecurityContext(Schannel)-Funktion aufrufen. Weitere Informationen finden Sie unter Manuelles Überprüfen von Schannel-Anmeldeinformationen.

Authentifizieren des Clients

Schannel überprüft die Zertifikate des Clients nicht. Der Server muss diese Authentifizierung manuell ausführen. In der Regel überprüft der Server die Identität des Clients in einer Datenbank, die Benutzerkontoinformationen enthält. Informationen zu Servern, die das Konto eines Clients mithilfe eines Zertifikats abrufen müssen, finden Sie unter Zuordnen von Zertifikaten.

Wenn der Server die Clientauthentifizierung an fordert, muss der Client dem Server eines seiner Zertifikate senden. Standardmäßig versucht Schannel ohne Benachrichtigung an den Client, ein Clientzertifikat zu finden und es an den Server zu senden. Um dieses Feature zu deaktivieren, geben Clients ISC REQ USE SUPPLIED CREDS an, wenn _ _ die _ _ InitializeSecurityContext-Funktion (Schannel) aufgerufen wird. Wenn dieses Flag angegeben wird, gibt Schannel SEC I INCOMPLETE CREDENTIALS an den Client zurück, wenn der Server die Authentifizierung an fordert und der Client zuvor kein _ _ Zertifikat bereitgestellt _ hat.