我有以下代码尝试在我的私有PKI中验证针对CA的服务器证书。它与ServicePointManager和RemoteCertificateValidationCallback:
static bool VerifyServerCertificate(object sender, X509Certificate certificate,
X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
X509Certificate2 ca = new X509Certificate2();
ca.Import("ca-rsa-cert.der");
X509Chain chain2 = new X509Chain();
chain2.ChainPolicy.ExtraStore.Add(ca);
// Check all properties
chain2.ChainPolicy.VerificationFlags = X509VerificationFlags.NoFlag;
// This setup does not have revocation information
chain2.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;
chain2.Build(new X509Certificate2(certificate));
if (chain2.ChainStatus.Length == 0)
{
return true;
}
bool result = chain2.ChainStatus[0].Status == X509ChainStatusFlags.NoError;
Debug.Assert(result == true);
return result;
}
问题是chain2.ChainStatus.Length始终为0。
如果我将X509RevocationMode设置为X509RevocationMode.Online,则ChainStatus.Length == 1并将状态设置为X509ChainStatusFlags.RevocationStatusUnknown。 (预计因为试验台没有撤销)。
问题:0 ChainStatus.Length的长度是什么意思?
问题:如果成功,那么为什么X509ChainStatusFlags.NoError没有使用?
答案 0 :(得分:0)
如果ChainStatuts.Lenght = 0; 这意味着您的链正确构建。 您可以使用Verify()函数检查结果,它使用在线撤销模式并使用标准的政策验证。