我想验证证书链,我得到一个X509Certificate2集合,并且必须验证所有证书是否构建了一个链。
通常,为了验证证书链,我应该从叶证书中获取数字签名并检查它是否由根证书签名 - 但在.NET中我找不到从X509Certificate2对象中提取签名的方法。
因此,我想到以下列方式使用X509Chain.Build()方法:
void ValidateChain(X509Certificate2Collection collection, X509Certificate2 leaf)
{
X509Chain x509Chain = new X509Chain();
x509Chain.ChainPolicy.ExtraStore.AddRange(collection);
bool isValid = x509Chain.Build(leaf);
}
但我对构建方法有一些疑问:
ExtraStore构建,我该如何定义这种行为?如果有人能向我解释Build()方法的工作原理,我将非常感激。
答案 0 :(得分:2)
您应该在Build操作后使用ChainStatus值。 MSDN:
X509Chain对象具有名为ChainStatus的全局错误状态,应该用于证书验证。管理证书验证的规则很复杂,通过忽略所涉及的一个或多个元素的错误状态,很容易过度简化验证逻辑。全局错误状态考虑了链中每个元素的状态。
答案 1 :(得分:0)
尝试使用此代码段:
bool chainIsValid = false;
var chain = new X509Chain();
chain.ChainPolicy.RevocationFlag = X509RevocationFlag.ExcludeRoot;
chain.ChainPolicy.RevocationMode = X509RevocationMode.Online;
chain.ChainPolicy.UrlRetrievalTimeout = new TimeSpan(0, 1, 0);
chain.ChainPolicy.VerificationFlags = X509VerificationFlags.NoFlag;
chainIsValid = chain.Build(certificate);