OPM 憑證撤銷
Microsoft可以撤銷輸出保護管理員 (OPM) 憑證。 撤銷的憑證清單會儲存在全域撤銷清單 (GRL) 中。 GRL 的格式如下:
| 部分 | 描述 |
|---|---|
| 頁眉 | GRL_HEADER 結構。 |
| 核心 | 包含下列撤銷清單:
|
| 可延伸專案 | 包含其他元件所使用的資訊。 本節與 OPM 無關。 |
| 更新: | 包含定義 Windows Update 識別碼的 GUID。 本節包含下列清單的識別碼:
|
| 簽章:核心區段 | 簽署標頭和核心區段。 |
| 簽章:可延伸區段 | 簽署標頭和可延伸區段。 |
GRL 標頭是 GRL_HEADER 結構。 結構 dwSequenceNumber 成員包含 GRL 版本號碼。 每當更新 GRL 並放置於用戶電腦上的新版本時,就會遞增此數位。
撤銷的 OPM 憑證會列在核心區段的證書吊銷清單中。 GRL 中的每個 Core 專案都是 20 位元組陣列,其中包含已撤銷憑證公鑰的 SHA-1 哈希。
[簽章] 區段包含可用來驗證 GRL 未遭到竄改的簽章。 每個簽章區段都包含am MF_SIGNATURE 結構。 第一個簽章會簽署標頭加上 Core 區段。 第二個簽章會簽署標頭加上 Extensible 區段;此簽章與 OPM 無關。
若要確保 GRL 本身未遭到竄改,請確認簽章,如下所示:
- 尋找 MF_SIGNATURE 結構的開頭。 MF_SIGNATURE 結構的位置是在 cbSignatureCoreOffsetGRL_HEADER 結構的成員中指定。 位置會指定為 GRL 開頭的位元組位移。
- 使用憑證鏈結,將 MF_SIGNATURE 結構剖析為 PKCS #7 簽章。
- 確認憑證鏈結至受信任的根目錄。
- 確認分葉憑證在 EKU 中具有下列對象標識元:「1.3.6.1.4.1.311.10.5.4」。。
- 計算包含 GRL 標頭和核心區段之位元組的哈希。
- 確認哈希符合分葉憑證中的簽章。
相關主題