7

OpenSSL を使用して CA と複数の証明書 (CA によって署名された) を生成し、.NET/C# クライアントとサーバーの両方を使用SslStreamして、それぞれ独自の証明書/キーを使用し、相互認証を有効にし、失効を無効にしました。

RemoteCertificateValidationCallbackリモートサーバーの証明書を検証するためにforを使用しSslStreamていますが、実際に CA を Windows 証明書ストアにインストールするのではなく、CA の公開証明書を (ファイルとして) プログラムにロードし、それを使用してリモート証明書を検証できることを望んでいました。 . 問題はX509Chain、CA をストアにインストールしない限り、他に何も表示されないことです。証明書の 1 つの PEM バージョンを開くと、Windows CryptoAPI シェルも表示されます。

私の質問は、Windows 証明書ストアまたは WCF を使用せずにCARemoteCertificateValidationCallbackの公開証明書ファイルを使用するだけで、証明書が特定の CA によって署名されていることを確認するにはどうすればよいですか?X509CertificateX509Chain

4

2 に答える 2

5

CA 証明書はルート証明書ストアにないため、RemoteCertificateValidationCallback()内にSslPolicyErrors.RemoteCertificateChainErrorsのエラー フラグが設定されます。ローカルストアを使用していないため、独自のX509Certificate2Collectionに対して証明書チェーンを明示的に検証する可能性があります。

if (sslPolicyErrors == SslPolicyErrors.RemoteCertificateChainErrors)
{
    X509Chain chain0 = new X509Chain();
    chain0.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;
    // add all your extra certificate chain
    chain0.ChainPolicy.ExtraStore.Add(new X509Certificate2(PublicResource.my_ca));
    chain0.ChainPolicy.VerificationFlags = X509VerificationFlags.AllowUnknownCertificateAuthority;
    isValid = chain0.Build((X509Certificate2)certificate);
}

また、コールバックで渡されたチェーンを再利用し、余分な証明書をExtraStoreコレクションに追加し、信頼されていない証明書をチェーンに追加するために必要なAllowUnknownCertificateAuthorityフラグで検証することもできます。

また、信頼できるルート ストアに CA 証明書をプログラムで追加することで、元のエラーを防ぐこともできます (もちろん、新しい信頼できる CA ルートをグローバルに追加することはセキュリティ上の大きな問題であるため、ポップアップが開きます)。

var store = new X509Store(StoreName.Root, StoreLocation.CurrentUser);
store.Open(OpenFlags.ReadWrite);
X509Certificate2 ca_cert = new X509Certificate2(PublicResource.my_ca);
store.Add(ca_cert);
store.Close();

EDIT:あなたのCAでチェーンを明確にテストしたい人のために:

もう 1 つの可能性は、ライブラリを使用しBouncyCastleて証明書チェーンを構築し、信頼を検証することです。オプションは明確で、エラーは理解しやすいです。成功した場合はチェーンを構築しますが、そうでない場合は例外が返されます。以下のサンプル:

// rootCerts : collection of CA
// currentCertificate : the one you want to test
var builderParams = new PkixBuilderParameters(rootCerts, 
                        new X509CertStoreSelector { Certificate = currentCertificate });
// crls : The certificate revocation list
builderParams.IsRevocationEnabled = crls.Count != 0;
// validationDate : probably "now"
builderParams.Date = new DateTimeObject(validationDate);

// The indermediate certs are items necessary to create the certificate chain
builderParams.AddStore(X509StoreFactory.Create("Certificate/Collection", new X509CollectionStoreParameters(intermediateCerts)));
builderParams.AddStore(X509StoreFactory.Create("CRL/Collection", new X509CollectionStoreParameters(crls)));

try
{
    PkixCertPathBuilderResult result = builder.Build(builderParams);
    return result.CertPath.Certificates.Cast<X509Certificate>();
    ...
于 2012-03-16T08:28:07.907 に答える
1

RemoteCertificateValidationCallback、X509Certificate、および X509Chain で何も動作しないように見える場合、Windows 証明書ストアまたは WCF を使用せずに CA の公開証明書ファイルを使用するだけで、特定の CA によって証明書が署名されていることを確認するにはどうすればよいですか?

次のコードは、Windows 証明書ストアを回避し、チェーンを検証します。特にフラグの使用において、JB のコードとは少し異なります。以下のコードは必要ありませんAllowUnknownCertificateAuthority(ただしX509RevocationMode.NoCheck、CRL を持っていないので使用します)。

関数名は問いません。以下は、クラスVerifyServerCertificateと同じコールバックです。インにも使えます。RemoteCertificateValidationCallbackSslStreamServerCertificateValidationCallbackServicePointManager

static bool VerifyServerCertificate(object sender, X509Certificate certificate,
    X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
    try
    {
        String CA_FILE = "ca-cert.der";
        X509Certificate2 ca = new X509Certificate2(CA_FILE);

        X509Chain chain2 = new X509Chain();
        chain2.ChainPolicy.ExtraStore.Add(ca);

        // Check all properties
        chain2.ChainPolicy.VerificationFlags = X509VerificationFlags.NoFlag;

        // This setup does not have revocation information
        chain2.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;

        // Build the chain
        chain2.Build(new X509Certificate2(certificate));

        // Are there any failures from building the chain?
        if (chain2.ChainStatus.Length == 0)
            return true;

        // If there is a status, verify the status is NoError
        bool result = chain2.ChainStatus[0].Status == X509ChainStatusFlags.NoError;
        Debug.Assert(result == true);

        return result;
    }
    catch (Exception ex)
    {
        Console.WriteLine(ex);
    }

    return false;
}

コールバックが必要ないように、デフォルトでこのチェーン(以下)を使用する方法を理解していません。chain2つまり、ssl ソケットにインストールすると、接続が「正常に機能する」ようになります。そして、コールバックに渡されるようにインストールする方法を理解していません。つまり、コールバックの呼び出しごとにチェーンを構築する必要があります。これらは .Net のアーキテクチャ上の欠陥だと思いますが、明らかな何かが欠けている可能性があります。

于 2014-03-28T02:39:03.503 に答える