Aracılığıyla paylaş

OPM Sertifika İptali

  • Makale

Çıkış koruma yöneticisi (OPM) sertifikası Microsoft tarafından iptal edilebilir. İptal edilen sertifikaların listesi genel iptal listesinde (GRL) depolanır. GRL aşağıdaki biçime sahiptir:

Bölüm Açıklama
Üstbilgi GRL_HEADER bir yapı.
Göbek Aşağıdaki iptal listelerini içerir:
  • Çekirdek ikili iptalleri
  • Kullanıcı modu ikili iptalleri
  • Sertifika iptalleri
  • Güvenilen kökler (ayrılmış)
Güvenilen kökler listesi şu anda kullanılmamakta ve gelecekte kullanılmak üzere ayrılmıştır.
Genişletilebilir girdiler Diğer bileşenler tarafından kullanılan bilgileri içerir. Bu bölüm OPM ile ilgili değildir.
Yenileme: Windows Update tanımlayıcılarını tanımlayan GUID'ler içerir. Bu bölüm aşağıdaki listelerin tanımlayıcılarını içerir:
  • Çekirdek ikili iptalleri
  • Kullanıcı modu ikili iptalleri
  • Sertifika iptalleri
Bir uygulama, varsa iptal edilmiş bir ikilinin yenilenen sürümünü istemek için bu tanımlayıcıları kullanabilir.
İmza: Çekirdek bölümü Üst bilgi ve çekirdek bölümleri imzalar.
İmza: Genişletilebilir bölüm Üst bilgiyi ve genişletilebilir bölümleri imzalar.

 

GRL üst bilgisi GRL_HEADER bir yapıdır. dwSequenceNumber üyesi GRL sürüm numarasını içerir. GRL her güncelleştirildiğinde ve kullanıcının bilgisayarına yeni bir sürüm yerleştirildiğinde bu sayı artırılır.

İptal edilen OPM sertifikaları, Çekirdek bölümünün sertifika iptalleri listesinde listelenir. GRL'deki her Core girişi, iptal edilen sertifikanın ortak anahtarının SHA-1 karması içeren 20 baytlık bir dizidir.

İmza bölümleri, GRL'nin üzerinde oynanmadığını doğrulamak için kullanılabilecek imzalar içerir. Her signature bölümü MF_SIGNATURE yapısı içerir. İlk imza üst bilgiyi ve Çekirdek bölümünü imzalar. İkinci imza üst bilgiyi ve Genişletilebilir bölümü imzalar; bu imza OPM ile ilgili değildir.

GRL'nin üzerinde oynanmadığından emin olmak için imzayı aşağıdaki gibi doğrulayın:

  1. MF_SIGNATURE yapısının başlangıcını bulun. MF_SIGNATURE yapısının konumu, GRL_HEADER yapısının cbSignatureCoreOffset üyesinde verilir. Konum, GRL'nin başlangıcından itibaren bayt cinsinden uzaklık olarak belirtilir.
  2. MF_SIGNATURE yapısını sertifika zinciriyle PKCS #7 imzası olarak ayrıştırın.
  3. Güvenilen bir köke kadar sertifika zincirini doğrulayın.
  4. Yaprak sertifikanın EKU'da şu nesne tanımlayıcısı olduğunu doğrulayın: "1.3.6.1.4.1.311.10.5.4".
  5. GRL'nin üst bilgisini ve çekirdek bölümlerini içeren baytların karması hesaplanır.
  6. Karmanın yaprak sertifikadaki imzayla eşleştiğinden emin olun.

Çıktı Koruma Yöneticisi

GRL_HEADER

MF_SIGNATURE