1

大家,我正在尝试写一些关于 SSL 的东西,问题是:

我在下面构建了一些东西:

  • CA certs(自制CA)
  • Server pfx、Server cert、Server key(自制CA签名到“localhost”)

现在我正在使用 .Net SslStream 来测试连接:(客户端和服务器在不同的线程中,并且 TCP 连接已经建立)

客户:

sslStream.AuthenticateAsClient("localhost");

服务器:

sslStream.AuthenticateAsServer(serverCert); 
//serverCert is X509Certificate2 built from "server.pfx"

客户端的 AuthenticateAsClient 方法会抛出异常

“根据验证程序,远程证书无效。”

我猜原因是服务器的证书是由不受信任的 CA 签名的,所以身份验证失败,那么我该如何将 CA 证书添加到我的信任列表中呢?

我尝试在客户端代码中添加以下代码,但它不起作用

        X509Store store = new X509Store(StoreName.TrustedPublisher, StoreLocation.CurrentUser);
        store.Open(OpenFlags.ReadWrite);
        store.Add(new X509Certificate2(Resources.CACertPath));
        store.Close();
        sslStream.AuthenticateAsClient("localhost");
4

1 回答 1

0

以下代码将避免 Windows 证书存储并验证链。

我认为没有理由将验证链所需的 CA 证书添加到证书存储中的数百个证书中。这意味着 Windows 将尝试使用“数百 + 1”证书而不是真正需要的一个证书来验证链。

我还没有弄清楚如何chain2默认使用这个链(下面),这样就不需要回调了。也就是说,将它安装在 ssl 套接字上,连接将“正常工作”。而且我还没有弄清楚如何安装它以便将其传递给回调。也就是说,我必须为回调的每次调用构建链。我认为这些是 .Net 中的架构缺陷,但我可能会遗漏一些明显的东西。

函数的名称无关紧要。下面,VerifyServerCertificate是与课堂上相同的RemoteCertificateValidationCallback回调SslStream。您也可以将它用于ServerCertificateValidationCallbackin ServicePointManager

static bool VerifyServerCertificate(object sender, X509Certificate certificate,
    X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
    try
    {
        String CA_FILE = "ca-cert.der";
        X509Certificate2 ca = new X509Certificate2(CA_FILE);

        X509Chain chain2 = new X509Chain();
        chain2.ChainPolicy.ExtraStore.Add(ca);

        // Check all properties
        chain2.ChainPolicy.VerificationFlags = X509VerificationFlags.NoFlag;

        // This setup does not have revocation information
        chain2.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;

        // Build the chain
        chain2.Build(new X509Certificate2(certificate));

        // Are there any failures from building the chain?
        if (chain2.ChainStatus.Length == 0)
            return true;

        // If there is a status, verify the status is NoError
        bool result = chain2.ChainStatus[0].Status == X509ChainStatusFlags.NoError;
        Debug.Assert(result == true);

        return result;
    }
    catch (Exception ex)
    {
        Console.WriteLine(ex);
    }

    return false;
}
于 2014-03-28T02:34:01.257 回答