Проверка сертификата с помощью CertVerifyCertificateChainPolicy завершается сбоем, когда цепочка сертификатов заменяется ⇐ C++

[Anonymous]

Мое приложение C++ (WinSCP) подключается к моему серверу для проверки наличия новых версий. Код HTTPS использует библиотеки neon и OpenSSL. Я проверяю сертификат TLS с помощью функции CertVerifyCertificateChainPolicy.
Пример кода, который проверяет сертификат на соответствие системному хранилищу сертификатов Windows (для краткости проверка ошибок была удалена) :

Код: Выделить всё

const CERT_CONTEXT * CertContext =
CertCreateCertificateContext(
X509_ASN_ENCODING | PKCS_7_ASN_ENCODING, Certificate, Len);

CERT_CHAIN_PARA ChainPara;
memset(&ChainPara, 0, sizeof(ChainPara));
ChainPara.cbSize = sizeof(ChainPara);

CERT_CHAIN_ENGINE_CONFIG ChainConfig;
memset(&ChainConfig, 0, sizeof(ChainConfig));
ChainConfig.cbSize = sizeof(ChainConfig);
ChainConfig.dwFlags = CERT_CHAIN_CACHE_END_CERT;

HCERTCHAINENGINE ChainEngine;
CertCreateCertificateChainEngine(&ChainConfig, &ChainEngine);
const CERT_CHAIN_CONTEXT * ChainContext = NULL;
CertGetCertificateChain(
ChainEngine, CertContext, NULL, NULL, &ChainPara,
CERT_CHAIN_CACHE_END_CERT | CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT,
NULL, &ChainContext);

CERT_CHAIN_POLICY_PARA PolicyPara;
PolicyPara.cbSize = sizeof(PolicyPara);

CERT_CHAIN_POLICY_STATUS PolicyStatus;
PolicyStatus.cbSize = sizeof(PolicyStatus);

CertVerifyCertificateChainPolicy(
CERT_CHAIN_POLICY_SSL, ChainContext, &PolicyPara, &PolicyStatus);
int PolicyError = PolicyStatus.dwError;

Это работает. Но у меня есть несколько сообщений о том, что проверка не удалась в корпоративных средах. Проблема возникает, когда цепочка сертификатов заменяется корпоративным брандмауэром. Для PolicyStatus.dwError установлено значение 800B0109 = CERT_E_UNTRUSTEDROOT.
Как предложил @bartonjs, я также пробовал использовать HCCE_CURRENT_USER > (=

Код: Выделить всё

NULL

) вместо использования собственного механизма, созданного с помощью CertCreateCertificateChainEngine. Это не имело никакого значения.

Но другие приложения могут подключаться к моему веб-сайту:

• Пользователи могут подключаться к моему веб-сайту с помощью своих веб-браузеров (но я знаю, что у них есть собственное хранилище доверенных сертификатов, поэтому для меня это не так уж удивительно).
• Но пользователи также могут подключаться используя Invoke-WebRequest в PowerShell.
• И сертификат моего сайта также успешно проверен с использованием .NET X509Chain.Build (я предполагаю, что происходит внутри Invoke- WebRequest):

Код: Выделить всё

X509Chain chain = new();
chain.Build(sslStream.RemoteCertificate);
// chain.ChainStatus is now empty => certificate is valid

Когда я проверил код .NET для X509Chain.Build, оказалось, что он делает что-то очень похожее на мой код на C++. Но должна быть какая-то тонкая разница, которую я не могу определить.
Кто-нибудь знает, что .NET делает по-другому, что он может успешно проверять замененную цепочку сертификатов?

Подробнее здесь: https://stackoverflow.com/questions/785 ... n-the-cert