在Win 8.1和Win 10下禁用虚拟智能卡的PIN缓存

Question

我们希望在虚拟智能卡中存储用于PDF签名的数字证书。由于监管原因(FDA，我们正在开发医疗设备)，我们必须确保必须(重新)输入保护证书的PIN才能对每个要签署的文档进行签名。默认行为似乎是，在windows会话期间，只需为第一个文档输入PIN。是否有任何选项可以配置“始终提示”策略，就像通常为传统智能卡所做的那样？

Answer 1

首先检查您是否确实依赖于智能卡本身，而不是kerberos票证或其他类似的派生工具，尝试使用klist和klist purge。

检查基本CSP PIN缓存策略设置here。

或者，如果您将CSP与：CryptSetProvParam(hProv, PP_SIGNATURE_PIN, NULL, 0)一起使用，则可以从缓存中强制删除PIN码