8

我想验证证书链,我得到一个X509Certificate2集合,并且必须验证所有证书是否都构建一个链。

通常,为了验证证书链,我应该从叶证书中获取数字签名并检查它是否由根证书签名 -在 .NET 中,我找不到从X509Certificate2对象中提取签名的方法。

因此,我想到X509Chain.Build()了以下方式使用方法:

   void ValidateChain(X509Certificate2Collection collection, X509Certificate2 leaf)
    {
        X509Chain x509Chain = new X509Chain();
        x509Chain.ChainPolicy.ExtraStore.AddRange(collection);
        bool isValid = x509Chain.Build(leaf); 
    }

但是我对构建方法有一些疑问:

  1. 据我了解,该链也是从我的计算机商店构建的,我希望它仅由 构建ExtraStore,我该如何定义这种行为?
  2. 我看到链构建后它不包含根证书;我的问题是为什么,以及如何验证链是否具有根 CA,因为这不是链元素的一部分。

如果有人可以向我解释该Build()方法的工作原理,我将不胜感激。

4

2 回答 2

4

您应该在构建操作之后使用 ChainStatus 值。MSDN 参考这里

X509Chain 对象有一个名为 ChainStatus 的全局错误状态,应该用于证书验证。管理证书验证的规则很复杂,很容易通过忽略所涉及的一个或多个元素的错误状态来过度简化验证逻辑。全局错误状态考虑了链中每个元素的状态。

于 2014-07-30T17:54:35.903 回答
0

试试这个代码片段:

bool chainIsValid = false;

var chain = new X509Chain();
chain.ChainPolicy.RevocationFlag = X509RevocationFlag.ExcludeRoot;
chain.ChainPolicy.RevocationMode = X509RevocationMode.Online;
chain.ChainPolicy.UrlRetrievalTimeout = new TimeSpan(0, 1, 0);
chain.ChainPolicy.VerificationFlags = X509VerificationFlags.NoFlag;

chainIsValid = chain.Build(certificate);
于 2011-11-15T21:39:28.500 回答