C# 根据自签名证书颁发机构验证服务器证书
我有使用SSL加密TCP连接(自定义协议)相互通信的自定义服务器/客户端应用程序。为了设置服务器证书,我创建了一个自签名证书颁发机构,并使用它来为服务器使用的证书签名。在客户端,我想验证我连接的服务器的证书是否由我的自签名CA签名C# 根据自签名证书颁发机构验证服务器证书,c#,.net,ssl,x509certificate,C#,.net,Ssl,X509certificate,我有使用SSL加密TCP连接(自定义协议)相互通信的自定义服务器/客户端应用程序。为了设置服务器证书,我创建了一个自签名证书颁发机构,并使用它来为服务器使用的证书签名。在客户端,我想验证我连接的服务器的证书是否由我的自签名CA签名 我通过C++提供了SSL::上下文:使用LoopyValuyYFILE()函数来实现自签名CA证书。我希望在C#客户机中实现相同的功能,但是.NET SSL的内容对于信任不在Windows信任存储中的证书似乎要严格得多 到目前为止,我在四处寻找的过程中找到了几个部分解
我通过C++提供了SSL::上下文:使用LoopyValuyYFILE()函数来实现自签名CA证书。我希望在C#客户机中实现相同的功能,但是.NET SSL的内容对于信任不在Windows信任存储中的证书似乎要严格得多
到目前为止,我在四处寻找的过程中找到了几个部分解决方案。显然地我尝试了代码,但手动创建的链仍然抱怨根证书不可信,就像传递到验证函数的原始链一样。有一个选项,但这似乎意味着它将接受任何自签名证书,这绝对不是我想要的 这似乎是最接近我想要的代码,但如上所述,我的问题是,它仍然抱怨我添加到外部存储的证书是自签名的。有没有办法说服X509Chain信任我提供的证书bool remoteCertificateValidationCallback(
object sender, X509Certificate certificate, X509Chain chain,
SslPolicyErrors sslPolicyErrors)
{
// make sure certificate was signed by our CA cert
X509Chain verify = new X509Chain();
verify.ChainPolicy.ExtraStore.Add(secureClient.CertificateAuthority); // add CA cert for verification
//verify.ChainPolicy.VerificationFlags = X509VerificationFlags.AllowUnknownCertificateAuthority; // this accepts too many certificates
verify.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck; // no revocation checking
verify.ChainPolicy.RevocationFlag = X509RevocationFlag.ExcludeRoot;
if (verify.Build(new X509Certificate2(certificate)))
{
return true; // success?
}
return false;
}
我怀疑您的私有CA证书未安装在当前系统(运行代码的系统)上,或者安装不正确。根CA证书必须安装在计算机stire的受信任根CA容器中,而不是当前用户存储中。默认情况下,
X509ChainX509Chain.chainementsif (verify.Build(new X509Certificate2(certificate)))
{
return verify.ChainElements[verify.ChainElements.Count - 1]
.Certificate.Thumbprint == cacert.thumbprint; // success?
}
return false;
其中,
cacertX509Chain.BuildCertCreateCertificateChaineEnginechain链.ChainStatus不可信项X509ChainTrustMode.CustomRootTrust