如何在使用本地 CRL 文件(C#)的验证过程中检查客户端证书吊销

【问题标题】:How to check client certificate revocation during validation process with local CRL file (C#)如何在使用本地 CRL 文件(C#)的验证过程中检查客户端证书吊销
【发布时间】:2017-05-26 21:01:06
【问题描述】:

我正在尝试使用 HttpClientHandler.ServerCertificateCustomValidationCallback 验证客户端证书。我已经用我的ChainPolicy 参数构建了我的x509chain

我在本地有我的 CRL (.pem) 文件,我想将其添加到吊销流程中。

我正在考虑做类似CRL validation 之类的操作,将带有distributionPoint oid 的X509Extension 导入我的X509Extension,但我无法理解它。

这是我的一段回调代码

private static Func<HttpRequestMessage, X509Certificate2, X509Chain, SslPolicyErrors, bool>
    ServerCertificateCustomValidationCallback()
{
    return (sender, cert, chain, sslPolicyErrors) =>
    {
        X509Certificate2 ca = new X509Certificate2(@"pathToCa\\ca.crt");

        X509Chain chai = new X509Chain();
        chai.ChainPolicy.ExtraStore.Add(ca);
        chai.ChainPolicy.RevocationFlag = X509RevocationFlag.ExcludeRoot;
        chai.ChainPolicy.RevocationMode = X509RevocationMode.Online;
        chai.ChainPolicy.VerificationFlags = X509VerificationFlags.AllFlags;
        chai.ChainPolicy.VerificationTime = DateTime.Now;
        try
        {
            if (!chai.Build(cert))
            {
                return false;
            }
            foreach (X509ChainStatus status in chai.ChainStatus)
            {
                if (status.Status == X509ChainStatusFlags.UntrustedRoot) continue;
                if (status.Status == X509ChainStatusFlags.OfflineRevocation) continue;
                if (status.Status == X509ChainStatusFlags.RevocationStatusUnknown) continue;
                return false;
            }

        }
        catch (Exception e)
        {
            throw e;
        }

        return true;
    };
}

感谢您的帮助和澄清

【问题讨论】:

  • 有什么问题?
  • @Mike_G 抱歉,这是我的第一篇文章。如何在撤销过程中添加我的本地 CRL 文件?

标签: c# security asp.net-core certificate certificate-revocation


【解决方案1】:

如果您想托管自己的 CRL,则需要在某处设置服务器,以便它可以像 html 页面一样托管您的 crl。

因此,例如,如果您使用 openSSL 或最好是 LibreSSL 创建自己的证书,在您的配置文件中,您将添加以下内容:

crlDistributionPoints  = URI:http://myserver.com/mycert.crl
nsCaRevocationUrl =  http://myserver.com/mycert.crl

(您可以尝试使用上述键的绝对路径,但我不确定这是否可行,如果它确实让我知道的话)

有几个教程可以帮助完成此设置,https://jamielinux.com/docs/openssl-certificate-authority/ 非常好且详细。

在我自己执行此操作时,我发现当您调用构建链时,.Net 框架会检查该链,因此您不需要添加额外的代码来确保它会自动检查 CRL。 (您可以通过检查服务器日志文件来检查是否正在获取 crl)

您可以通过将自己的证书添加到您的 CRL 来测试这一点,您应该会发现您得到了 

X509ChainStatusFlags.Revoked

希望有帮助

【讨论】:

  • 好吧,您的解决方案运行良好,但我的问题是关于从本地文件中脱机撤销..
  • 您是否尝试将 nsCaRevocationUrl /crlDistributionPoints 的路径更改为 \\Machinename\c$\certrevlist\my.crl
  • 我发现dotnet只检查带有http源的crls:dotnet cource
  • 谢谢,很高兴知道这一点。我想这是不可能的,除非你安装一个“本地”网络服务器。
猜你喜欢
  • 2018-12-30
  • 2012-03-25
  • 1970-01-01
  • 2016-08-31
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode