? ? ?關于數(shù)字證書鏈的驗證有很多文檔，這里寫一下我記錄的文檔。

? ? ?我們獲取到一張證書文件，如pfx,cer后綴的文件，我們如何保證我們獲取的證書是正式CA機構頒發(fā)的，并且有完整證書鏈，直到信任的根證書呢，下面就記錄下一下C#代碼來查詢。

? ? ?在c#中有這個類型X509Certificate2，我們將用這個類型來判斷證書的有效性，包括但不限于驗證證書鏈是否完整、證書是否過期、證書是否可信任、證書是否被吊銷等。

? ? ?

1 X509Store store = new X509Store(StoreName.My, StoreLocation.CurrentUser); 2 store.Open(OpenFlags.ReadWrite); 3 X509Certificate2Collection storecollection = (X509Certificate2Collection)store.Certificates; 4 foreach (X509Certificate2 x509 in storecollection) 5 { 6 //120B2FCE02360A4E36F25EC 過期證書 7 //4AB398545081D3A3496DF 自簽名證書 8 //4DEF9C5D328130958EA823 正常證書 9 if (x509.SerialNumber == "4AB398545081D3A3496DFA0") 10 { 11 12 bool isFullChain= x509.Verify(); 13 14 15 System.Security.Cryptography.X509Certificates.X509Certificate2 cert = x509; 16 17 System.Security.Cryptography.X509Certificates.X509Chain chain = new System.Security.Cryptography.X509Certificates.X509Chain(); 18 //chain.ChainPolicy.RevocationMode = System.Security.Cryptography.X509Certificates.X509RevocationMode.Online; 19 //chain.ChainPolicy.RevocationFlag = System.Security.Cryptography.X509Certificates.X509RevocationFlag.EntireChain; 20 //chain.ChainPolicy.VerificationFlags = X509VerificationFlags.NoFlag; 21 ////chain.ChainPolicy.VerificationFlags = System.Security.Cryptography.X509Certificates.X509VerificationFlags.; 22 //chain.ChainPolicy.VerificationTime = DateTime.Now; 23 24 bool sucess = chain.Build(cert); 25 26 if (!sucess) 27 { 28 string[] errors = chain.ChainStatus.Select(x => String.Format("{0} ({1})", x.StatusInformation.Trim(), x.Status)).ToArray(); 29 30 } 31 32 33 #endregion 34 } 35 }

通過sucess可以判斷證書是否完整有效，如果你還需要具體點錯誤信息，請查看errors錯誤內容。

一般提示：自簽名的證書（已處理證書鏈，但是在不受信任提供程序信任的根證書中終止。 (UntrustedRoot)）

過期證書（根據(jù)當前系統(tǒng)時鐘或簽名文件中的時間戳驗證時要求的證書不在有效期內。 (NotTimeValid)）

轉載于:https://www.cnblogs.com/zuimengaitianya/p/6488904.html

總結

以上是生活随笔為你收集整理的数字证书链验证的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。