当 X509Certificate 被撤销时,如何以编程方式获取?如果证书被吊销,我可以获得信息,但我需要获得何时被吊销,我认为 CRL 列表有该信息,但有人可以告诉我如何阅读。
8 回答
通过 (a) 获取 CRL 列表并检查证书是否在其中列出,以及 (b) 向服务器发送 OCSP 请求以进行检查,来检查吊销状态。
.NET 不允许您这样做。CryptoAPI 可能对这些操作有一些方法,但最简单的方法是使用 .NET 的第三方库。BouncyCastle 声称对 OCSP 和 CRL 有一些支持,我们的 SecureBlackbox 为 OCSP 和 CRL 提供了完整的支持(客户端和服务器组件都可用),我们还提供了一个执行完整证书验证的组件(包括所有 CRL 和 OCSP 检查和需要时进行 HTTP 和 LDAP 通信)使用一种方法调用。
CRL 作为 OID 存储在 X509Certificate 对象的扩展属性中。OID FriendlyName 和 Value 是“CRL Distribution Points”和“2.5.29.31”。在证书的扩展中搜索值为 2.5.29.31 的 OID,然后您可以解析原始数据并获取分发点。
我在这里找到了以下代码示例。我在公开签名证书和内部 Microsoft CA 证书上都对其进行了测试;它返回 URL 或 LDAP 连接字符串。
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
namespace System.Security.Cryptography.X509Certificates
{
public static class X509Certificate2Extensions
{
/// <summary>
/// Returns an array of CRL distribution points for X509Certificate2 object.
/// </summary>
/// <param name="certificate">X509Certificate2 object.</param>
/// <returns>Array of CRL distribution points.</returns>
public static string[] GetCrlDistributionPoints(this X509Certificate2 certificate)
{
X509Extension ext = certificate.Extensions.Cast<X509Extension>().FirstOrDefault(
e => e.Oid.Value == "2.5.29.31");
if (ext == null || ext.RawData == null || ext.RawData.Length < 11)
return EmptyStrings;
int prev = -2;
List<string> items = new List<string>();
while (prev != -1 && ext.RawData.Length > prev + 1)
{
int next = IndexOf(ext.RawData, 0x86, prev == -2 ? 8 : prev + 1);
if (next == -1)
{
if (prev >= 0)
{
string item = Encoding.UTF8.GetString(ext.RawData, prev + 2, ext.RawData.Length - (prev + 2));
items.Add(item);
}
break;
}
if (prev >= 0 && next > prev)
{
string item = Encoding.UTF8.GetString(ext.RawData, prev + 2, next - (prev + 2));
items.Add(item);
}
prev = next;
}
return items.ToArray();
}
static int IndexOf(byte[] instance, byte item, int start)
{
for (int i = start, l = instance.Length; i < l; i++)
if (instance[i] == item)
return i;
return -1;
}
static string[] EmptyStrings = new string[0];
}
}
使用 x509.h 文件中的此 API 使用 openssl 1.0 / 或更高版本
X509_CRL_get0_by_cert(X509_CRL *crl, X509_REVOKED **ret, X509 *x);
您要检查的证书中的 X ;
Ret 是撤销结构的地址,其中撤销的原因和所有存储
的 crl 都是 CRL 。
对于未来的读者。
如前所述,.NET 目前不公开公共类,也不用于 X.509 证书吊销列表,也不用于 OCSP 消息传递。当然,您可以编写自己的代码或使用 3rd 方库。
您可以从PowerShell PKI模块项目(PKI.Core.dll 库)尝试我自己的 CryptoAPI 托管扩展。支持 X509 CRL 托管类(建立在 CryptoAPI 本机函数之上):X509CRL2 类。RevokedCertificates 属性存储一组已撤销的证书。此外,库包括存储在 PKI.OCSP 命名空间中的 OCSP 消息传递类(完全托管)。如果您的证书在 AIA 扩展中包含 OCSP 链接,那么您可以通过实例化OCSPRequest对象并调用OCSPRequest.SendRequest方法轻松地从 X509Certificate2 对象构造 OCSP 请求。返回对象是OCSPResponse类的一个实例。
基本上,代码将如下所示:
using System;
using System.Security.Cryptography.X509Certificates;
using PKI.OCSP;
public class Class1 {
public static DateTime? GetrevocationDate(X509Certificate2 cert) {
OCSPRequest request = new OCSPRequest(cert);
OCSPResponse response = request.SendRequest();
if (response.Responses[0].CertStatus == CertificateStatus.Revoked) {
return response.Responses[0].RevocationInfo.RevocationDate;
}
return null;
}
}
NULL 表示证书未被吊销。
使用 X509 CRL,代码将如下所示:
using System;
using System.Security.Cryptography.X509Certificates;
public class Class1 {
// crlRawData could a type of System.String and pass the path to a CRL file there.
public static DateTime? GetrevocationDate(X509Certificate2 cert, Byte[] crlRawData) {
X509CRL2 crl = new X509CRL2(crlRawData);
X509CRLEntry entry = crl.RevokedCertificates[cert.SerialNumber];
if (entry != null) {
return entry.RevocationDate;
}
return null;
}
}
我没有支持@Hive 上面回答的声誉,但这正是我所需要的,除了语言。我在下面发布了我的 PowerShell 端口:
$cert = (Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -match "SUBJECT NAME*"})
function IndexOfByte([byte[]]$instance, [byte]$item, [int]$start)
{
$len = $instance.Length
for ($i = $start; $i -lt $len; $i++) {
if ($instance[$i] -eq $item) { return $i }
}
return -1;
}
$crls = $cert.Extensions | ? { $_.Oid.FriendlyName -eq "CRL Distribution Points" }
$prev = -2;
[System.Collections.ArrayList]$items = @();
while ($prev -ne -1 -and $crls.RawData.Length -gt $prev + 1)
{
if($prev -eq -2) { $y = 8 } else {$y = $prev + 1}
$next = IndexOfByte -instance $crls.RawData -item 0x86 -start $y
if ($next -eq -1) {
if ($prev -ge 0) {
$item = [system.Text.Encoding]::UTF8.GetString($crls.RawData, $prev + 2, $crls.RawData.Length - ($prev + 2));
$items.Add($item);
}
break;
}
if ($prev -ge 0 -and $next -gt $prev) {
$item = [system.Text.Encoding]::UTF8.GetString($crls.RawData, $prev + 2, $next - ($prev + 2));
$items.Add($item);
}
$prev = $next;
}
Write-Host "Certificate CRLs: `n$($items | out-string)"
第一步是从证书中提取 CRL 分发点,然后将证书的序列号与分发点中的 CRL 内容进行匹配。
这是另一种提取 CRL 分发点的方法,它使用更少的幻数和位旋转。(在 .NET Core 2.1 中测试)
var path = "<path to signed file>";
// get certificate
var cert = new X509Certificate2(path);
// extract the CRL distribution points information
var crlInfo = cert.Extensions["2.5.29.31"];
var crlDistribitionPoints = new AsnEncodedData(crlInfo.Oid, crlInfo.RawData).Format(false);
Console.Writeline(crlDistribitionPoints);
当您说撤销时,您的意思是无效吗?如果它被撤销,我不希望它在您的代码中到达请求,因为 Web 服务器将首先妨碍您。
如果您使用从 x509certificate 派生的 x509certificate2,那么您可以检查更多属性;下面的链接上有许多示例。