डब्ल्यूसीएफ सर्टिफिकेट चेन, प्रोग्रामेटिक रूप से

Question

सत्यापित करें मैं स्टोर का उपयोग करने के बजाए प्रोग्रामेटिक रूप से प्रमाण पत्र का उपयोग करने की कोशिश कर रहा हूं। मैं X509Certificate2 फाइलनाम और पासवर्ड के साथ बना रहा हूं।

यह ठीक काम करता है जब मैंने विश्वसनीय लोगों में प्रमाणपत्र स्टोर में रूट प्रमाणपत्र मैन्युअल रूप से जोड़ा है। हालांकि, मुझे हर तैनाती पर ऐसा करने की ज़रूरत नहीं है - मैं इसके बजाय प्रोग्रामेटिक रूप से भी निपटूंगा।

जब मैं प्रमाणपत्र स्टोर से रूट प्रमाणपत्र को हटाता हूं तो मुझे अपवाद मिलता है।

मैंने जो कुछ भी पढ़ा है, वह कहता है कि मुझे प्रमाणपत्र स्टोर में रूट प्रमाणपत्र मैन्युअल रूप से जोड़ना है, या ट्रस्ट चेन काम नहीं करेगा।

प्रश्न: क्या ट्रस्ट चेन स्थापित करने के लिए कोई प्रोग्रामेटिक तरीका है, इसलिए मुझे इसे मैन्युअल रूप से करने की ज़रूरत नहीं है?

कोड लगता है:

 var serverCert = new X509Certificate2("FullPathToMyCertificate.cer", "Password"); 
     Client.ClientCredentials.ServiceCertificate.DefaultCertificate = serverCert; 

अपवाद है, जो occures जब मैं ग्राहकों का इस्तेमाल करने की कोशिश, यह है:

System.IdentityModel.Tokens.SecurityTokenValidationException 

The X.509 certificate CN=notrealcertname, OU=TPA, OU=BMP, OU=Projects, O=Somebody, C=US is not in the trusted people store. 
The X.509 certificate CN=notrealcertname, OU=TPA, OU=BMP, OU=Projects, O=Somebody, C=US chain building failed. 
The certificate that was used has a trust chain that cannot be verified. 
Replace the certificate or change the certificateValidationMode. 
A certificate chain could not be built to a trusted root authority. 

Answer 1

इस्तेमाल किया घटक डिफ़ॉल्ट रूप से श्रृंखला की पुष्टि करता है - जब श्रृंखला सत्यापित नहीं किया जा सकता है कि आप उस अपवाद प्राप्त करते हैं। आप कोड में श्रृंखला के सत्यापन सहित सब कुछ करना चाहते हैं तो आप implement "custom validation" and integrate that into the WCF Host की जरूरत है:

Client.ServiceCertificate.Authentication.CertificateValidationMode = 
       X509CertificateValidationMode.Custom; 
Client.ServiceCertificate.Authentication.CustomCertificateValidator = 
    new MyCertificateValidator(); 

एक अन्य विकल्प मान्यता पूरी तरह निष्क्रिय करने के लिए होगा (उत्पादन के लिए नहीं !!!)

Client.ServiceCertificate.Authentication.CertificateValidationMode = 
       X509CertificateValidationMode.None; 

संपादित करें - टिप्पणी के बाद:

मान्य के लिए अपने आप को श्रृंखला आप X509Chain और X509Store पर एक नज़र रखना चाहिए - एक विचार कैसे इस तरह के एक श्रृंखला सत्यापन लागू किया जा सकता Verify की Mono's implementation पर एक नज़र पाने के लिए ... मूल रूप से आप माता-पिता और इतने के लिए एक X509Certificate2Collection खोज करने के लिए Find विधि का उपयोग पर ... कस्टम सत्यापन के साथ सत्यापन मानदंड आपके ऊपर है (मान्य हस्ताक्षर, समाप्त नहीं हुआ ...)।

MSDN पर कुछ संदर्भ लिंक:

• http://msdn.microsoft.com/en-us/library/system.servicemodel.security.x509servicecertificateauthentication.certificatevalidationmode.aspx

• http://msdn.microsoft.com/en-us/library/system.identitymodel.selectors.x509certificatevalidator.aspx

• http://msdn.microsoft.com/en-us/library/ms733806.aspx