C# X509VerificationFlags.IgnoreEndRevocationUnknown做什么?
验证证书的唯一方法是将X509ChainPolicy对象的VerificationFlags属性设置为IgnoreEndRevocationUnknown标志 我正在验证的证书是一个有效的ssl证书,由我根据我也创建的CA证书创建。证书的“证书路径”选项卡(在Windows资源管理器中查看)显示“此证书无问题”消息 如果我不使用IgnoreEndRevocationUnknown标志,我会得到一个状态信息,表示吊销功能无法检查证书的吊销 所以,我不知道为什么我会这样,需要使用国旗。下面是一些代码:C# X509VerificationFlags.IgnoreEndRevocationUnknown做什么?,c#,cryptography,x509certificate2,C#,Cryptography,X509certificate2,验证证书的唯一方法是将X509ChainPolicy对象的VerificationFlags属性设置为IgnoreEndRevocationUnknown标志 我正在验证的证书是一个有效的ssl证书,由我根据我也创建的CA证书创建。证书的“证书路径”选项卡(在Windows资源管理器中查看)显示“此证书无问题”消息 如果我不使用IgnoreEndRevocationUnknown标志,我会得到一个状态信息,表示吊销功能无法检查证书的吊销 所以,我不知道为什么我会这样,需要使用国旗。下面是一些代码
var store = new X509Store(StoreName.My, StoreLocation.CurrentUser);
store.Open(OpenFlags.ReadOnly);
var cert = store.Certificates.Find(
X509FindType.FindBySubjectName,
"DaveSvrCert", false
)[0];
var chain = new X509Chain();
var policy = new X509ChainPolicy
{
RevocationFlag = X509RevocationFlag.EntireChain,
RevocationMode = X509RevocationMode.Online,
VerificationFlags = X509VerificationFlags.IgnoreEndRevocationUnknown
};
chain.ChainPolicy = policy;
if (!chain.Build(cert))
{
foreach (var chainElement in chain.ChainElements)
{
foreach (var chainElementStatus in chainElement.ChainElementStatus)
{
Console.WriteLine(chainElementStatus.Status + ": ");
Console.WriteLine(chainElementStatus.StatusInformation);
}
}
}
干杯 IgnoreEndRevocationUnknown忽略
RevocationOffline
错误。这些错误是在CA配置不正确且未提供证书吊销信息时导致的:
- 颁发的证书不包含
证书扩展CRL分布点
,但客户端无法访问任何URLCRL分布点
并且不要使用此标志,因为当客户端成功验证并接受吊销的证书时,它会导致安全漏洞。IgnoreEndRevocationUnknown忽略
RevocationOffline
错误。这些错误是在CA配置不正确且未提供证书吊销信息时导致的:
- 颁发的证书不包含
证书扩展CRL分布点
,但客户端无法访问任何URLCRL分布点
不要使用此标志,因为当客户端成功验证并接受吊销的证书时,它会导致安全漏洞。Crypt32的回答和建议非常好,但很明显,在某些用例中,您可能不想验证CRL,或者根本无法验证CRL,因为无法通过网络访问它。在这些情况下,您可以设置
chain.ChainPolicy.RevocationMode = System.Security.Cryptography.X509Certificates.X509RevocationMode.NoCheck;
而且它将完全跳过对链中所有证书的检查(可能节省一些时间,如网络超时)
注意:在Windows中查看证书时,只需双击它并获取证书属性对话框,Windows将不会在显示此证书正常时执行CRL检查。该消息仅由您信任颁发证书这一事实决定。Crypt32的答案和建议很好,但显然,在某些用例中,您可能不想验证CRL,或者因为无法通过网络访问CRL而无法验证CRL。在这些情况下,您可以设置
chain.ChainPolicy.RevocationMode = System.Security.Cryptography.X509Certificates.X509RevocationMode.NoCheck;
而且它将完全跳过对链中所有证书的检查(可能节省一些时间,如网络超时)
注意:在Windows中查看证书时,只需双击它并获取证书属性对话框,Windows将不会在显示此证书正常时执行CRL检查。该消息仅取决于您是否信任颁发证书。谢谢。我必须对CDP等做一些进一步的研究。我真的不打算在任何地方托管CA更新点。但也许我需要。再次感谢,谢谢。我必须对CDP等做一些进一步的研究。我真的不打算在任何地方托管CA更新点。但也许我需要。再次感谢。