1

我正在尝试使用HttpClientHandler.ServerCertificateCustomValidationCallback. 我x509chain用我的ChainPolicy参数构建了我的。

我在本地有我的 CRL (.pem) 文件,我想将其添加到吊销过程中。

我正在考虑做一些类似CRL 验证的事情,使用 distributionPoint oid 导入我X509Certificate的 an X509Extension,但我无法理解它。

这是我的一段回调代码

private static Func<HttpRequestMessage, X509Certificate2, X509Chain, SslPolicyErrors, bool>
    ServerCertificateCustomValidationCallback()
{
    return (sender, cert, chain, sslPolicyErrors) =>
    {
        X509Certificate2 ca = new X509Certificate2(@"pathToCa\\ca.crt");

        X509Chain chai = new X509Chain();
        chai.ChainPolicy.ExtraStore.Add(ca);
        chai.ChainPolicy.RevocationFlag = X509RevocationFlag.ExcludeRoot;
        chai.ChainPolicy.RevocationMode = X509RevocationMode.Online;
        chai.ChainPolicy.VerificationFlags = X509VerificationFlags.AllFlags;
        chai.ChainPolicy.VerificationTime = DateTime.Now;
        try
        {
            if (!chai.Build(cert))
            {
                return false;
            }
            foreach (X509ChainStatus status in chai.ChainStatus)
            {
                if (status.Status == X509ChainStatusFlags.UntrustedRoot) continue;
                if (status.Status == X509ChainStatusFlags.OfflineRevocation) continue;
                if (status.Status == X509ChainStatusFlags.RevocationStatusUnknown) continue;
                return false;
            }

        }
        catch (Exception e)
        {
            throw e;
        }

        return true;
    };
}

感谢您的帮助和澄清

4

1 回答 1

0

如果您想托管自己的 CRL,则需要在某处设置服务器,以便它可以像 html 页面一样托管您的 crl。

因此,例如,如果您使用 openSSL 或最好是LibreSSL创建自己的证书,在您的配置文件中,您将添加以下内容:

crlDistributionPoints  = URI:http://myserver.com/mycert.crl
nsCaRevocationUrl =  http://myserver.com/mycert.crl

(您可以尝试使用上述键的绝对路径,但我不确定这是否可行,如果它确实让我知道的话)

有几个教程可以帮助进行此设置,https ://jamielinux.com/docs/openssl-certificate-authority/ 非常好且详细。

在我自己执行此操作时,我发现当您调用构建链时,.Net 框架会检查该链,因此您不需要添加额外的代码来确保它自动检查 CRL。(您可以通过检查服务器日志文件来检查是否正在获取 crl)

您可以通过将您自己的证书添加到您的 CRL 来对此进行测试,您应该会发现您得到了

X509ChainStatusFlags.Revoked

希望有帮助

于 2017-01-12T13:30:36.130 回答