estructura SCH_CREDENTIALS (schannel.h)

  • Artículo

La estructura SCH_CREDENTIALS contiene información de inicialización para una credencial de Schannel.

Sintaxis

typedef struct _SCH_CREDENTIALS {
  DWORD           dwVersion;
  DWORD           dwCredFormat;
  DWORD           cCreds;
  PCCERT_CONTEXT  *paCred;
  HCERTSTORE      hRootStore;
  DWORD           cMappers;
  _HMAPPER        **aphMappers;
  struct          _HMAPPER;
  DWORD           dwSessionLifespan;
  DWORD           dwFlags;
  DWORD           cTlsParameters;
  PTLS_PARAMETERS pTlsParameters;
} SCH_CREDENTIALS, *PSCH_CREDENTIALS;

Miembros

dwVersion

Establezca en SCH_CREDENTIALS_VERSION.

dwCredFormat

El modo kernel Schannel admite los valores siguientes.

Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP y Windows XP/2000: Esta marca no se admite y debe ser cero.

Valor Significado
SCH_CRED_FORMAT_CERT_HASH
0x00000001
 El miembro paCred de la estructura de SCH_CREDENTIALS pasado debe ser un puntero a una matriz de bytes de longitud 20 que contenga la huella digital del certificado. Se supone que el certificado está en el almacén "MY" del equipo local.
SCH_CRED_FORMAT_CERT_HASH_STORE
0x00000002
 El miembro paCred de la estructura SCH_CREDENTIALS apunta a una estructura de SCHANNEL_CERT_HASH_STORE .

cCreds

Número de estructuras de la matriz paCred.

paCred

Matriz de punteros a CERT_CONTEXT estructuras. Cada puntero especifica un certificado que contiene una clave privada que se usará para autenticar la aplicación.

Las aplicaciones cliente suelen pasar una lista vacía y dependen de Schannel para buscar un certificado adecuado o crear un certificado más adelante si es necesario.

hRootStore

Opcional. Válido solo para aplicaciones de servidor. Identificador de un almacén de certificados que contiene certificados raíz autofirmados para las entidades de certificación (CA) de confianza de la aplicación. Este miembro solo lo usan las aplicaciones del lado servidor que requieren autenticación de cliente.

cMappers

Reservado.

aphMappers

Reservado.

_HMAPPER

dwSessionLifespan

Número de milisegundos que Schannel mantiene la sesión en su caché de sesiones. Una vez transcurrido este tiempo, las nuevas conexiones entre el cliente y el servidor requieren una nueva sesión de Schannel. Establezca el valor de este miembro en cero para usar el valor predeterminado de 360000000 milisegundos (diez horas).

dwFlags

Contiene marcas de bits que controlan el comportamiento de Schannel. Este miembro puede ser cero o una combinación de los valores siguientes.

Valor Significado
SCH_CRED_AUTO_CRED_VALIDATION
0x00000020
 Solo cliente.

Esta marca es lo contrario de SCH_CRED_MANUAL_CRED_VALIDATION y forma parte del comportamiento predeterminado de Schannel.
SCH_CRED_CACHE_ONLY_URL_RETRIEVAL_ON_CREATE
0x00020000
 Indique a Schannel que pase la marca CERT_CHAIN_CACHE_ONLY_URL_RETRIEVAL a la función CertGetCertificateChain al validar las credenciales especificadas durante una llamada a AcquireCredentialsHandle (Schannel).

Windows Server 2003 y Windows XP/2000: Esta marca no se admite.
SCH_CRED_DISABLE_RECONNECTS
0x00000080
 Solo servidor.

Si se establece esta marca, los protocolos de enlace completos realizados con esta credencial no permitirán las reconexión. Se crea una entrada de caché, por lo que la sesión se puede reanudar más adelante mediante la función ApplyControlToken .
SCH_CRED_IGNORE_NO_REVOCATION_CHECK
0x00000800
 Al comprobar si hay certificados revocados, omita CRYPT_E_NO_REVOCATION_CHECK errores. Para obtener restricciones adicionales, vea Comentarios.
SCH_CRED_IGNORE_REVOCATION_OFFLINE
0x00001000
 Al comprobar si hay certificados revocados, omita CRYPT_E_REVOCATION_OFFLINE errores. Para obtener restricciones adicionales, vea Comentarios.
SCH_CRED_MANUAL_CRED_VALIDATION
0x00000008
 Solo cliente.

Impedir que Schannel valide la cadena de certificados de servidor recibida.
SCH_CRED_NO_DEFAULT_CREDS
0x00000010
 Solo cliente.

Impedir que Schannel intente proporcionar automáticamente una cadena de certificados para la autenticación de cliente.
SCH_CRED_NO_SERVERNAME_CHECK
0x00000004
 Solo cliente.

Impedir que Schannel compare el nombre de destino proporcionado con los nombres de firmante en los certificados de servidor.
SCH_CRED_NO_SYSTEM_MAPPER
0x00000002
 Solo servidor.

Impedir que Schannel use las funciones de asignación de certificados del sistema integradas para asignar certificados de cliente a una cuenta de usuario.
SCH_CRED_REVOCATION_CHECK_CHAIN
0x00000200
 Al validar una cadena de certificados, compruebe todos los certificados para la revocación. Para obtener restricciones adicionales, vea Comentarios.
SCH_CRED_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT
0x00000400
 Al validar una cadena de certificados, no compruebe la raíz para la revocación. Para obtener restricciones adicionales, vea Comentarios.
SCH_CRED_REVOCATION_CHECK_END_CERT
0x00000100
 Al validar una cadena de certificados, compruebe solo el último certificado para la revocación. Para obtener restricciones adicionales, vea Comentarios.
SCH_CRED_USE_DEFAULT_CREDS
0x00000040
 Solo cliente.

Schannel intenta proporcionar automáticamente una cadena de certificados para la autenticación de cliente. Este valor es lo contrario de SCH_CRED_NO_DEFAULT_CREDS.
SCH_SEND_AUX_RECORD
0x00200000
 Indique a Schannel que divida los datos que se van a cifrar en dos registros independientes para contrarrestar la debilidad presente en el protocolo SSL/TLS cuando se usa con el conjunto de cifrado simétrico mediante el modo de encadenamiento de bloques de cifrado. Para obtener más información, vea "Vulnerabilidad en SSL/TLS podría permitir la divulgación de información" en la Base de conocimiento ayuda y soporte técnico en http://support.microsoft.com/kb/2643584.

Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP y Windows XP/2000: Esta marca no se admite.
SCH_SEND_ROOT_CERT
0x00040000
 Schannel envía el certificado raíz como parte del mensaje de certificado.
Nota El certificado raíz enviado a través de la red por el cliente o servidor de Schannel no es de confianza. Debe validarse con un hash de confianza del certificado raíz.
 
SCH_USE_STRONG_CRYPTO
0x00400000
 Indica a Schannel que deshabilite algoritmos criptográficos débiles conocidos, conjuntos de cifrado y versiones del protocolo SSL/TLS que, de lo contrario, se puedan habilitar para mejorar la interoperabilidad.
SCH_USE_PRESHAREDKEY_ONLY
0x00800000
 Indica a Schannel que seleccione solo los conjuntos de cifrado PSK y deshabilite todos los demás conjuntos de cifrado.

cTlsParameters

Recuento de entradas en la matriz pTlsParameters.

Es un error especificar más de SCH_CRED_MAX_SUPPORTED_PARAMETERS.

pTlsParameters

Matriz de punteros a las estructuras TLS_PARAMETERS que indican restricciones de parámetros TLS, si existe. Si no se especifica ninguna restricción, se usan los valores predeterminados del sistema. Se recomienda que las aplicaciones se basen en los valores predeterminados del sistema.

Es un error incluir más de una estructura de TLS_PARAMETERS con cAlpnIds == 0 y rgstrAlpnIds == NULL.

Comentarios

Para usar la estructura de SCH_CREDENTIALS, defina SCHANNEL_USE_BLACKLISTS junto con UNICODE_STRING y PUNICODE_STRING. Como alternativa, incluya Ntdef.h, SubAuth.h o Winternl.h.

Requisitos

Requisito Value
Cliente mínimo compatible Windows 10 1809 [solo aplicaciones de escritorio]
Servidor mínimo compatible Windows Server 1809 [solo aplicaciones de escritorio]
Encabezado schannel.h

Consulte también

CRYPTO_SETTINGS

TLS_PARAMETERS