Имеется задача производить проверку цепочку без установки сертификатов УЦ в хранилище.
На Windows для этих целей создаётся хранилище в памяти, в которое загружаются сертификаты УЦ и потом это хранилище передаётся в CertCreateCertificateChainEngine как поле hExclusiveRoot структуры CERT_CHAIN_ENGINE_CONFIG, после чего уже производится построение цепочки, которое проходит успешно.
На Linux же структура CERT_CHAIN_ENGINE_CONFIG не имеет поля hExclusiveRoot, а без него проверка цепочки без установленного сертификата УЦ в хранилище uRoot или mRoot всегда возвращает CERT_TRUST_NO_ERROR. Игнорировать ошибку CERT_TRUST_NO_ERROR тоже не выходит, так как при её возникновении проверка сертификата на отзыв уже не осуществляется внутри функции CertGetCertificateChain.
Планируется ли поддержка поля hExclusiveRoot? Или есть какие-то другие пути решения данной проблемы?

Здравствуйте.

Поддержали поле hExclusiveRoot при проверке цепочки. Изменения войдут в следующие релизы CSP.

Для удобства использования добавили в WinCryptEx.h структуру CERT_CHAIN_ENGINE_CONFIG_WIN8 с новыми полями, в т.ч. hExclusiveRoot.