我创建了这样的证书请求:
certreq -new req.inf req-Revoked.req
certreq -submit -attrib "SAN:email=ttesting@Test.Domain&upn=1234567890@Test.Domain" -config Win2K8-64\Test-Win2K8-64-CA req-Revoked.req testerCert-Revoked.cer
certreq -accept testerCert-Revoked.cer
CertUtil -f -p testerCert -exportPFX -user My Testing.Tester.T.1234567890 testerCert-Revoked.pfx
CertUtil -delstore -user My Testing.Tester.T.1234567890
然后我通过以下方式撤销它:
CertUtil -revoke <SerialNumber_from_above_Cert>
然后我执行此代码:
X509Certificate2 certificate = GetCertificate("testerCert-Revoked.pfx", "password"); // helper method loads the pfx from a file
X509Chain chain = new X509Chain();
chain.ChainPolicy.RevocationFlag = X509RevocationFlag.ExcludeRoot;
chain.ChainPolicy.RevocationMode = X509RevocationMode.Online;
chain.ChainPolicy.VerificationTime = DateTime.Now;
chain.ChainPolicy.UrlRetrievalTimeout = new TimeSpan(0, 0, 0);
chain.ChainPolicy.VerificationFlags = X509VerificationFlags.NoFlag;
if (!chain.Build(certificate))
{
errorBuffer.Append("Could not build X.509 certificate chain:\r\n");
foreach (X509ChainStatus status in chain.ChainStatus)
{
errorBuffer.AppendFormat(" - {0}\r\n", status.StatusInformation);
}
throw new CryptographicException(errorBuffer.ToString());
}
chain.Build()始终返回true。但由于证书被撤销,它应该是假的!我已经仔细检查了证书是否被撤销,并且序列号是在撤销证书下的服务器管理器中列出的。我已经仔细检查了CURL分发点网址在服务器和证书请求上的匹配情况。 (他们是LDAP网址)。 CertUtil将中间.cer文件视为已撤销。但上面的C#代码并没有。
这一切都在原始CA到期之前有效,并且IT使用新证书重建了我的测试机器。我使用新CA重新生成了证书,并且每个单元测试再次起作用,除了处理撤销的那些。过期的证书按预期工作,但未撤销证书。
我不知道接下来要做什么让这段代码再次运行,并且会喜欢一些帮助。谢谢!
答案 0 :(得分:1)
原来问题是一个名为Tumbleweed的应用程序。它安装在服务器上,并拦截所有吊销请求。禁用Tumbleweed服务完全解决了我的问题。
查尔斯。
答案 1 :(得分:-1)
链只是证书列表,从您提供的证书开始,一直到根证书。它是基于可以找到的任何证书构建的 - 即使它们已过期,无效或被撤销。
您要做的是验证链条。使用chain.ChainStatus。
来自MSDN docs: X509Chain对象具有名为ChainStatus的全局错误状态,应该用于证书验证。管理证书验证的规则很复杂,通过忽略所涉及的一个或多个元素的错误状态,很容易过度简化验证逻辑。全局错误状态考虑了链中每个元素的状态。