【发布时间】:2018-10-19 10:47:20
【问题描述】:
我知道关于这个论点有很多问题,但我已经坚持了好几天了,所以我在这里。
我有一个根证书和一个客户端证书。我需要在 C# Web API 项目中复制命令 openssl verify -CAfile ca.pem client.pem 的作用。
这是我目前所知道的(希望这是真的):
-
Verify()方法实际上验证证书是否由权威机构签署。它就像一个格式控件。哪个机构签署证书并不重要。 -
X509 Chain是要走的路。将您的 ca 证书添加到额外的存储中,因为我不会将证书安装到 Windows 中。然后构建传递客户端证书。让魔法发生吧!不幸的是,我在配置方面遇到了一些问题。
举个例子让我更清楚
private bool VerifyCertificate(X509Certificate2 client)
{
X509Chain chain = new X509Chain();
var stringCert = WebConfigurationManager.AppSettings["CACertificate"];
var byteCert = Encoding.ASCII.GetBytes(stringCert);
var authority = new X509Certificate2(byteCert);
chain.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;
chain.ChainPolicy.VerificationFlags = X509VerificationFlags.IgnoreWrongUsage;
chain.ChainPolicy.ExtraStore.Add(authority);
// Do the preliminary validation.
if (!chain.Build(client))
return false;
return true;
}
在这个例子中,程序返回false。构建未通过。我确定问题出在ChainPolicy properties 所以我尝试了不同的配置
chain.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;
chain.ChainPolicy.RevocationFlag = X509RevocationFlag.ExcludeRoot;
chain.ChainPolicy.VerificationFlags = X509VerificationFlags.NoFlag;
chain.ChainPolicy.VerificationTime = DateTime.Now;
chain.ChainPolicy.UrlRetrievalTimeout = new TimeSpan(0, 0, 0);
但是这个不会验证任何东西,实际上使用我的 ca 证书,该方法返回 true 并使用另一个 ca 证书(我没有用它来签署我的客户端证书)该方法还返回true。
我搜索了 C# 的 OpenSSL 包装器并找到了它,但不幸的是它是基于旧库的,并且该 repo 不再被维护。另外,如果可能的话,我会使用 .net 框架来实现我的目标。
所以伙计们,快速回顾一下。我想检查只有我的ca证书确定的证书才能通过验证,其他的都必须停止。
提前感谢您的帮助
【问题讨论】:
标签: c# ssl certificate