關於數字證書鏈的驗證有很多文檔,這里寫一下我記錄的文檔。
我們獲取到一張證書文件,如pfx,cer后綴的文件,我們如何保證我們獲取的證書是正式CA機構頒發的,並且有完整證書鏈,直到信任的根證書呢,下面就記錄下一下C#代碼來查詢。
在c#中有這個類型X509Certificate2,我們將用這個類型來判斷證書的有效性,包括但不限於驗證證書鏈是否完整、證書是否過期、證書是否可信任、證書是否被吊銷等。
1 X509Store store = new X509Store(StoreName.My, StoreLocation.CurrentUser); 2 store.Open(OpenFlags.ReadWrite); 3 X509Certificate2Collection storecollection = (X509Certificate2Collection)store.Certificates; 4 foreach (X509Certificate2 x509 in storecollection) 5 { 6 //120B2FCE02360A4E36F25EC 過期證書 7 //4AB398545081D3A3496DF 自簽名證書 8 //4DEF9C5D328130958EA823 正常證書 9 if (x509.SerialNumber == "4AB398545081D3A3496DFA0") 10 { 11 12 bool isFullChain= x509.Verify(); 13 14 15 System.Security.Cryptography.X509Certificates.X509Certificate2 cert = x509; 16 17 System.Security.Cryptography.X509Certificates.X509Chain chain = new System.Security.Cryptography.X509Certificates.X509Chain(); 18 //chain.ChainPolicy.RevocationMode = System.Security.Cryptography.X509Certificates.X509RevocationMode.Online; 19 //chain.ChainPolicy.RevocationFlag = System.Security.Cryptography.X509Certificates.X509RevocationFlag.EntireChain; 20 //chain.ChainPolicy.VerificationFlags = X509VerificationFlags.NoFlag; 21 ////chain.ChainPolicy.VerificationFlags = System.Security.Cryptography.X509Certificates.X509VerificationFlags.; 22 //chain.ChainPolicy.VerificationTime = DateTime.Now; 23 24 bool sucess = chain.Build(cert); 25 26 if (!sucess) 27 { 28 string[] errors = chain.ChainStatus.Select(x => String.Format("{0} ({1})", x.StatusInformation.Trim(), x.Status)).ToArray(); 29 30 } 31 32 33 #endregion 34 } 35 }
通過sucess可以判斷證書是否完整有效,如果你還需要具體點錯誤信息,請查看errors錯誤內容。
一般提示:自簽名的證書(已處理證書鏈,但是在不受信任提供程序信任的根證書中終止。 (UntrustedRoot))
過期證書(根據當前系統時鍾或簽名文件中的時間戳驗證時要求的證書不在有效期內。 (NotTimeValid))