如何只从CRL中检查吊销列表？

Question

我正在使用WinVerifyTrust验证文件签名。

与互联网的连接非常糟糕，所以我只想检查本地缓存。

问题是我对如何在WinTrustData中设置参数感到困惑

关于fdwRevocationChecks -文档如下：

当WTD_REVOKE_NONE标志与HTTPSPROV_ACTION函数的pgActionID参数中设置的pgActionID值一起使用时，将不执行额外的撤销检查。为了确保WinVerifyTrust函数在验证代码签名时不尝试任何网络检索，必须在dwProvFlags参数中设置WTD_CACHE_ONLY_URL_RETRIEVAL。

什么是“没有附加的撤销检查”-除了什么？它是否使用CRL进行撤销检查？如果我将这个字段设置为*WTD_REVOKE_WHOLECHAIN*，它也会在线检查吗？

如果我设置了WTD_CACHE_ONLY_URL_RETRIEVAL，它是否足够，以确保它不会尝试从互联网获取撤销列表？

的底线：如何确保存在CRL检查，但没有任何在线检查。

谢谢

Answer 1

您应该将fdwRevocationChecks设置为WTD_REVOKE_NONE，并将WTD_CACHE_ONLY_URL_RETRIEVAL标志添加到dwProvFlags。这将确保WinVerifyTrust在验证嵌入式签名时只查看缓存的CRL。