.net 如何验证X509证书而不导入根证书?

hmmo2u0o  于 2023-01-10  发布在  .NET
关注(0)|答案(5)|浏览(225)

我的程序包含两个我知道并信任的根证书。我必须验证信任中心的证书和信任中心颁发的"用户"证书,它们都来自这两个根证书。
我使用X509Chain类来验证,但只有当根证书在Windows证书存储中时才有效。
我正在寻找一种方法来验证证书,而不导入这些根证书-不知何故,告诉X509Chain类我确实信任这个根证书,它应该只检查链中的证书,而不检查其他任何东西。
实际代码:

X509Chain chain = new X509Chain();
        chain.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;
        chain.ChainPolicy.ExtraStore.Add(root); // i do trust this
        chain.ChainPolicy.ExtraStore.Add(trust);
        chain.Build(cert);

编辑:它是一个. NET 2.0 Winforms应用程序。

z0qdvdin

z0qdvdin1#

我在dotnet/corefx上打开了一个Issue,他们回复如下:
如果AllowUnknownCertificateAuthority是唯一设置的标志,则chain.Build()将返回true,如果

  • 链在自签名证书中正确终止(通过ExtraStore或搜索的持久化存储)
  • 根据请求的吊销策略,所有证书均无效
  • 所有证书在ApplicationPolicy或CertificatePolicy值(可选)下都有效
  • 所有证书的NotBefore值都在VerificationTime或之前,所有证书的NotAfter值都在VerificationTime或之后。

如果未指定该标志,则会添加附加约束:

  • 自签名证书必须在系统上注册为受信任证书(例如在LM\Root存储中)。*

因此,Build()返回true,您就知道存在一个时间有效的未撤销链。此时要做的事情是读取chain.ChainElements[chain.ChainElements.Count - 1].Certificate并确定它是否是您信任的证书。我建议将chainRoot.RawDatabyte[]进行比较,byte[]表示您在上下文中信任为根的证书(即,逐字节比较,而不是使用指纹值)。
(If设置其它标志,则也放松其它约束)
所以你应该这样做:

X509Chain chain = new X509Chain();
chain.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;
chain.ChainPolicy.ExtraStore.Add(root);
chain.ChainPolicy.VerificationFlags = X509VerificationFlags.AllowUnknownCertificateAuthority;
var isValid = chain.Build(cert);

var chainRoot = chain.ChainElements[chain.ChainElements.Count - 1].Certificate;
isValid = isValid && chainRoot.RawData.SequenceEqual(root.RawData);
wr98u20j

wr98u20j2#

    • 编辑**

多年来,我们发现我在这里发布的原始X509Chain解决方案存在一些问题,因为X509Chain在某些边缘情况下执行不正确的行为。因此,我不能再推荐使用X509Chain来解决这个问题。我们的产品已经转移到使用Bouncy Castle来做我们所有的证书链验证,它已经经受住了我们所有的测试,并且总是按预期工作。
我们的新解决方案的基础可以在这里找到:Build certificate chain in BouncyCastle in C#
我已经删除了原来的答案,所以没有人使用一个坏的安全解决方案。

zqry0prt

zqry0prt3#

获得此验证的方法是编写一个自定义验证。
如果您在WCF上下文中,则通过对System.IdentityModel.Selectors.X509CertificateValidator进行子类化并在web.config中的serviceBehavior对象上指定自定义验证来完成此操作:

<serviceBehaviors>
    <behavior name="IdentityService">
      <serviceMetadata httpGetEnabled="true" />
      <serviceDebug includeExceptionDetailInFaults="true" />
      <serviceCredentials>
        <clientCertificate>
          <authentication customCertificateValidatorType="SSOUtilities.MatchInstalledCertificateCertificateValidator, SSOUtilities"
            certificateValidationMode="Custom" />
        </clientCertificate>
        <serviceCertificate findValue="CN=SSO ApplicationManagement"
          storeLocation="LocalMachine" storeName="My" />
      </serviceCredentials>
    </behavior>

但是,如果您只是在寻找一种从另一台主机接受SSL证书的方法,则可以修改system.netweb.config文件中的www.example.com设置:
下面是一个X509 CertificateValidator的示例,它测试客户端证书是否存在于LocalMachine/Personal存储中。(这不是您需要的,但作为示例可能会很有用。

using System.Collections.Generic;
using System.Linq;
using System.Security;
using System.Security.Cryptography.X509Certificates;

/// <summary>
/// This class can be injected into the WCF validation 
/// mechanism to create more strict certificate validation
/// based on the certificates common name. 
/// </summary>
public class MatchInstalledCertificateCertificateValidator
    : System.IdentityModel.Selectors.X509CertificateValidator
{
    /// <summary>
    /// Initializes a new instance of the MatchInstalledCertificateCertificateValidator class.
    /// </summary>
    public MatchInstalledCertificateCertificateValidator()
    {
    }

    /// <summary>
    /// Validates the certificate. Throws SecurityException if the certificate
    /// does not validate correctly.
    /// </summary>
    /// <param name="certificateToValidate">Certificate to validate</param>
    public override void Validate(X509Certificate2 certificateToValidate)
    {
        var log = SSOLog.GetLogger(this.GetType());
        log.Debug("Validating certificate: "
            + certificateToValidate.SubjectName.Name
            + " (" + certificateToValidate.Thumbprint + ")");

        if (!GetAcceptedCertificates().Where(cert => certificateToValidate.Thumbprint == cert.Thumbprint).Any())
        {
            log.Info(string.Format("Rejecting certificate: {0}, ({1})", certificateToValidate.SubjectName.Name, certificateToValidate.Thumbprint));
            throw new SecurityException("The certificate " + certificateToValidate
                + " with thumprint " + certificateToValidate.Thumbprint
                + " was not found in the certificate store");
        }

        log.Info(string.Format("Accepting certificate: {0}, ({1})", certificateToValidate.SubjectName.Name, certificateToValidate.Thumbprint));
    }

    /// <summary>
    /// Returns all accepted certificates which is the certificates present in 
    /// the LocalMachine/Personal store.
    /// </summary>
    /// <returns>A set of certificates considered valid by the validator</returns>
    private IEnumerable<X509Certificate2> GetAcceptedCertificates()
    {
        X509Store k = new X509Store(StoreName.My, StoreLocation.LocalMachine);

        try
        {
            k.Open(OpenFlags.ReadOnly | OpenFlags.OpenExistingOnly);
            foreach (var cert in k.Certificates)
            {
                yield return cert;
            }
        }
        finally
        {
            k.Close();
        }
    }
}
6ojccjat

6ojccjat4#

如果您知道哪些证书可以是要检查的证书的根证书和中间证书,则可以在X509Chain对象的ChainPolicy.ExtraStore集合中加载根证书和中间证书的公钥。
我的任务还包括编写一个Windows窗体应用程序来安装证书,前提是证书的颁发依赖于我国政府的已知“国家根证书”。还有数量有限的CA被允许颁发证书来验证到国家Web服务的连接,因此,我只有一组有限的证书,这些证书可以在证书链中,但在目标计算机上可能会丢失。我在子目录“cert”中收集了CA的所有公钥和政府根证书申请的日期:

在Visual Studio中,我将目录证书添加到解决方案中,并将此目录中的所有文件标记为嵌入式资源。这允许我在我的c#库代码中枚举“受信任”证书的集合,以构建一个链来检查证书,即使没有安装颁发者证书。为此,我为X509Chain创建了一个 Package 类:

private class X509TestChain : X509Chain, IDisposable
{
  public X509TestChain(X509Certificate2 oCert)
    : base(false)
  {
    try
    {
      ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;
      ChainPolicy.VerificationFlags = X509VerificationFlags.AllowUnknownCertificateAuthority;
      if (!Build(oCert) || (ChainElements.Count <= 1))
      {
        Trace.WriteLine("X509Chain.Build failed with installed certificates.");
        Assembly asmExe = System.Reflection.Assembly.GetEntryAssembly();
        if (asmExe != null)
        {
          string[] asResources = asmExe.GetManifestResourceNames();
          foreach (string sResource in asResources)
          {
            if (sResource.IndexOf(".cert.") >= 0)
            {
              try
              {
                using (Stream str = asmExe.GetManifestResourceStream(sResource))
                using (BinaryReader br = new BinaryReader(str))
                {
                  byte[] abResCert = new byte[str.Length];
                  br.Read(abResCert, 0, abResCert.Length);
                  X509Certificate2 oResCert = new X509Certificate2(abResCert);
                  Trace.WriteLine("Adding extra certificate: " + oResCert.Subject);
                  ChainPolicy.ExtraStore.Add(oResCert);
                }
              }
              catch (Exception ex)
              {
                Trace.Write(ex);
              }
            }
          }
        }
        if (Build(oCert) && (ChainElements.Count > 1))
          Trace.WriteLine("X509Chain.Build succeeded with extra certificates.");
        else
          Trace.WriteLine("X509Chain.Build still fails with extra certificates.");
      }
    }
    catch (Exception ex)
    {
      Trace.Write(ex);
    }
  }

  public void Dispose()
  {
    try
    {
      Trace.WriteLine(string.Format("Dispose: remove {0} extra certificates.", ChainPolicy.ExtraStore.Count));
      ChainPolicy.ExtraStore.Clear();
    }
    catch (Exception ex)
    {
      Trace.Write(ex);
    }
  }
}

在调用函数中,我现在可以成功地检查未知证书是否派生自国家根证书:

bool bChainOK = false;
    using (X509TestChain oChain = new X509TestChain(oCert))
    {
      if ((oChain.ChainElements.Count > 0)
        && IsPKIOverheidRootCert(oChain.ChainElements[oChain.ChainElements.Count - 1].Certificate))
        bChainOK = true;
      if (!bChainOK)
      {
        TraceChain(oChain);
        sMessage = "Root certificate not present or not PKI Overheid (Staat der Nederlanden)";
        return false;
      }
    }
    return true;

要完成整个画面:为了检查根证书(通常会安装根证书,因为它包含在Windows Update中,但理论上也可能丢失),我将友好名称和指纹与发布的值进行比较:

private static bool IsPKIOverheidRootCert(X509Certificate2 oCert)
{
  if (oCert != null)
  {
    string sFriendlyName = oCert.FriendlyName;
    if ((sFriendlyName.IndexOf("Staat der Nederlanden") >= 0)
      && (sFriendlyName.IndexOf(" Root CA") >= 0))
    {
      switch (oCert.Thumbprint)
      {
        case "101DFA3FD50BCBBB9BB5600C1955A41AF4733A04": // Staat der Nederlanden Root CA - G1
        case "59AF82799186C7B47507CBCF035746EB04DDB716": // Staat der Nederlanden Root CA - G2
        case "76E27EC14FDB82C1C0A675B505BE3D29B4EDDBBB": // Staat der Nederlanden EV Root CA
          return true;
      }
    }
  }
  return false;
}

我不确定此检查是否安全,但在我的示例中,Windows窗体应用程序的操作员非常确定有权访问要安装的有效证书。该软件的目标只是筛选证书列表,以帮助他在计算机的机器存储区中仅安装正确的证书(软件还安装中间证书和根证书的公钥,以确保Web服务客户端的运行时行为是正确的)。

92vpleto

92vpleto5#

我刚刚扩展了@Tristan的代码,检查根证书是否是添加到ExtraStore的证书之一。

X509Chain chain = new X509Chain();
chain.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;
chain.ChainPolicy.ExtraStore.Add(root);
chain.Build(cert);
if (chain.ChainStatus.Length == 1 &&
    chain.ChainStatus.First().Status == X509ChainStatusFlags.UntrustedRoot &&
    chain.ChainPolicy.ExtraStore.Contains(chain.ChainElements[chain.ChainElements.Count - 1].Certificate))
{
    // chain is valid, thus cert signed by root certificate 
    // and we expect that root is untrusted which the status flag tells us
    // but we check that it is a known certificate
}
else
{
    // not valid for one or more reasons
}

相关问题