C# 如何验证 Root-CA-Cert 证书 (x509) 链?

【问题标题】:C# How can I validate a Root-CA-Cert certificate (x509) chain?C# 如何验证 Root-CA-Cert 证书 (x509) 链?
【发布时间】:2011-11-11 23:58:24
【问题描述】:

假设我有三个证书(Base64 格式)

Root
 |
 --- CA
     |
     --- Cert (client/signing/whatever)

如何在 C# 中验证证书和证书路径/链? (所有这三个证书可能不在我的计算机证书存储中)

编辑:BouncyCastle 具有验证功能。但我尽量不使用任何第三方库。

    byte[] b1 = Convert.FromBase64String(x509Str1);
    byte[] b2 = Convert.FromBase64String(x509Str2);
    X509Certificate cer1 = 
        new X509CertificateParser().ReadCertificate(b1);
    X509Certificate cer2 =
        new X509CertificateParser().ReadCertificate(b2);
    cer1.Verify(cer2.GetPublicKey());

如果 cer1 没有被 cert2(CA 或 root)签名,就会出现异常。这正是我想要的。

【问题讨论】:

    标签: c# cryptography x509certificate x509


    【解决方案1】:

    X509Chain 类就是为此而设计的,您甚至可以自定义它如何执行链构建过程。

    static bool VerifyCertificate(byte[] primaryCertificate, IEnumerable<byte[]> additionalCertificates)
{
    var chain = new X509Chain();
    foreach (var cert in additionalCertificates.Select(x => new X509Certificate2(x)))
    {
        chain.ChainPolicy.ExtraStore.Add(cert);
    }

    // You can alter how the chain is built/validated.
    chain.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;
    chain.ChainPolicy.VerificationFlags = X509VerificationFlags.IgnoreWrongUsage;

    // Do the validation.
    var primaryCert = new X509Certificate2(primaryCertificate);
    return chain.Build(primaryCert);
}

    如果您需要,X509Chain 将在Build() == false 之后包含有关验证失败的其他信息。

    编辑:这只会确保您的 CA 有效。如果要确保链相同,可以手动检查指纹。您可以使用以下方法确保认证链正确,它期望链中的顺序:..., INTERMEDIATE2, INTERMEDIATE1 (Signer of INTERMEDIATE2), CA (Signer of INTERMEDIATE1)

    static bool VerifyCertificate(byte[] primaryCertificate, IEnumerable<byte[]> additionalCertificates)
{
    var chain = new X509Chain();
    foreach (var cert in additionalCertificates.Select(x => new X509Certificate2(x)))
    {
        chain.ChainPolicy.ExtraStore.Add(cert);
    }

    // You can alter how the chain is built/validated.
    chain.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;
    chain.ChainPolicy.VerificationFlags = X509VerificationFlags.IgnoreWrongUsage;

    // Do the preliminary validation.
    var primaryCert = new X509Certificate2(primaryCertificate);
    if (!chain.Build(primaryCert))
        return false;

    // Make sure we have the same number of elements.
    if (chain.ChainElements.Count != chain.ChainPolicy.ExtraStore.Count + 1)
        return false;

    // Make sure all the thumbprints of the CAs match up.
    // The first one should be 'primaryCert', leading up to the root CA.
    for (var i = 1; i < chain.ChainElements.Count; i++)
    {
        if (chain.ChainElements[i].Certificate.Thumbprint != chain.ChainPolicy.ExtraStore[i - 1].Thumbprint)
            return false;
    }

    return true;
}

    我无法对此进行测试,因为我没有完整的 CA 链,因此最好调试并逐步执行代码。

    【讨论】:

    • 谢谢。但我故意将不同的颁发者证书放在“additionalCertificates”中,结果是“true”:(
    • 谢谢乔纳森。但不工作。看起来 chain.Build 正在验证证书的有效性。不是证书路径。只要证书有效(证书链/路径错误),结果就为真。指纹方法不起作用,因为所有指纹都不同(即使在正确的路径/链中)
    • @Jacob,这就是我手动验证指纹的原因,正如我所说,逐步完成代码的新部分。我还在if (chain.Build) 位中打错了字。更新它。
    • primaryCertificate 是最终证书,其他证书是 CA 到 root
    猜你喜欢
    • 2021-07-22
    • 2018-06-30
    • 1970-01-01
    • 2011-04-06
    • 1970-01-01
    • 2013-01-28
    • 1970-01-01
    • 2019-11-02
    • 2011-02-14
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode