Recuperando uma lista de certificados revogados
Uma autoridade de certificação (CA) é responsável por publicar sua lista de certificados revogados (CRL). A CRL atual pode ser recuperada usando o método ICertAdmin2::GetCRL . Nos casos em que o certificado de uma autoridade de certificação foi renovado, talvez seja necessário recuperar CRLs para os certificados de autoridade de certificação anteriores. Para obter informações sobre a renovação da autoridade de certificação, consulte Renovação da autoridade de certificação. Além disso, uma autoridade de certificação pode publicar CRLs delta. Para recuperar CRLs para certificados de autoridade de certificação renovados ou CRLs delta, use os métodos ICertAdmin2::GetCAProperty ou ICertRequest2::GetCAProperty.
O exemplo a seguir mostra a recuperação da CRL atual.
ICertAdmin2 * pCertAdmin2 = NULL; // pointer to interface object
BSTR bstrCA = NULL; // variable for computer\CAname
BSTR bstrCRL = NULL; // variable to contain the retrieved CRL
HRESULT hr;
// Initialize COM.
hr = CoInitializeEx(NULL, COINIT_APARTMENTTHREADED);
if (FAILED(hr))
{
printf("Failed CoInitializeEx [%x]\n", hr);
goto error;
}
// Create the CertAdmin object,
// and get a pointer to its ICertAdmin interface.
hr = CoCreateInstance( CLSID_CCertAdmin,
NULL,
CLSCTX_INPROC_SERVER,
IID_ICertAdmin2,
(void **)&pCertAdmin2);
if (FAILED(hr))
{
printf("Failed CoCreateInstance pCertAdmin2 [%x]\n", hr);
goto error;
}
// Note the use of two '\' in C++ to produce one '\'.
bstrCA = SysAllocString(L"<COMPUTERNAMEHERE>\\<CANAMEHERE>");
if (bstrCA == NULL)
{
printf("Failed to allocate memory for bstrCA\n");
goto error;
}
// Retrieve the CRL.
hr = pCertAdmin2->GetCRL( bstrCA, CR_OUT_BINARY, &bstrCRL );
if (FAILED(hr))
{
printf("Failed GetCRL [%x]\n", hr);
goto error;
}
else
printf("CRL retrieved successfully\n");
// Use the CRL as needed...
// Processing is finished.
error:
// Free BSTR values.
if (NULL != bstrCA)
SysFreeString(bstrCA);
if (NULL != bstrCRL)
SysFreeString(bstrCRL);
// Clean up object resources.
if (NULL != pCertAdmin2)
pCertAdmin2->Release();
// Free COM resources.
CoUninitialize();
O exemplo a seguir mostra a recuperação de CRLs base e delta, incluindo aquelas para certificados de autoridade de certificação que foram renovados. O exemplo usa ICertAdmin2::GetCAProperty, embora ICertRequest2::GetCAProperty forneça funcionalidade semelhante.
LONG nCACertCount, nIndex, nCRLState;
VARIANT variant;
VariantInit(&variant);
// Determine the number of CA certificates.
hr = pCertAdmin2->GetCAProperty(bstrCA,
CR_PROP_CASIGCERTCOUNT,
0,
PROPTYPE_LONG,
CR_OUT_BINARY,
&variant);
if (FAILED(hr))
{
printf("Failed call to GetCAProperty - "
"CR_PROP_CASIGCERTCOUNT\n");
goto error;
}
nCACertCount = variant.lVal;
VariantClear(&variant);
for (nIndex = 0; nIndex < nCACertCount; nIndex++)
{
// Determine the CRL state for each certificate index.
hr = pCertAdmin2->GetCAProperty(bstrCA,
CR_PROP_CRLSTATE,
nIndex,
PROPTYPE_LONG,
CR_OUT_BINARY,
&variant);
if (FAILED(hr))
{
printf("Failed call to GetCAProperty - "
"CR_PROP_CRLSTATE\n");
goto error;
}
nCRLState = variant.lVal;
VariantClear(&variant);
// Process certificate indices only when
// the CRL state is valid.
if (CA_DISP_VALID == nCRLState)
{
// Retrieve the base CRL.
hr = pCertAdmin2->GetCAProperty(bstrCA,
CR_PROP_BASECRL,
nIndex,
PROPTYPE_BINARY,
CR_OUT_BINARY,
&variant);
if (FAILED(hr))
{
printf("Failed call to GetCAProperty - "
"CR_PROP_BASECRL\n");
goto error;
}
// Use the base CRL as needed (not shown).
// ...
VariantClear(&variant);
// Retrieve the delta CRL.
hr = pCertAdmin2->GetCAProperty(bstrCA,
CR_PROP_DELTACRL,
nIndex,
PROPTYPE_BINARY,
CR_OUT_BINARY,
&variant);
if (FAILED(hr))
{
printf("Failed call to GetCAProperty - "
"CR_PROP_DELTACRL\n");
goto error;
}
// Use the delta CRL as needed (not shown).
// ...
VariantClear(&variant);
}
}
// Processing is finished.
error:
// Clean up object resources.
if ( NULL != pCertAdmin2 )
pCertAdmin2->Release();
// Free BSTR variables.
if ( NULL != bstrCA )
SysFreeString ( bstrCA );
// Clear the variant.
VariantClear(&variant);