मैं कैसे प्रमाणित करूं कि एक प्रमाण पत्र किसी विशेष प्रमाणीकरण प्राधिकारी द्वारा बनाया गया था?

Question

मेरे पास एक विंडोज प्रमाणन प्राधिकरण है जिसका उपयोग मैं क्लाइंट प्रमाणीकरण प्रमाण पत्र को .NET/C# के माध्यम से जारी करने के लिए कर रहा हूं। मैं COM के माध्यम से प्रमाणन प्राधिकरण के एपीआई को कॉल करके प्रोग्रामेटिक रूप से प्रमाणपत्र जारी करने में सफलतापूर्वक इसे प्राप्त करने में सक्षम हूं। जब मैं एक ग्राहक स्थापित करता हूं तो मैं एक नया प्रमाण पत्र जारी करता हूं।

रनटाइम पर, ये क्लाइंट प्रमाण पत्र को मेरे सर्वर से अनुरोध करने के लिए संलग्न करते हैं। मैं प्रोग्रामेटिक रूप से कैसे सत्यापित कर सकता हूं कि X509Certificate2 को मेरे प्रमाणपत्र प्राधिकरण के रूट प्रमाणपत्र द्वारा हस्ताक्षरित किया गया था (और किसी अन्य स्रोत द्वारा हस्ताक्षरित प्रमाण पत्र अस्वीकार कर दिया गया है)?

Answer 1

मैंने यह बहुत कुछ किया है। यहां कुछ आसान कोड है जिसका आप उपयोग कर सकते हैं।

if (!isChainValid) ब्लॉक में हिस्सा एक सुंदर त्रुटि संदेश बनाना है। यदि आप नहीं चाहते हैं तो आपको इसका उपयोग करने की ज़रूरत नहीं है, लेकिन यदि श्रृंखला नहीं बनाई जा सकती है तो आपको एक त्रुटि फेंकनी चाहिए। आपकी जड़ की जांच करने के लिए श्रृंखला तत्व आवश्यक हैं।

X509Certificate2 authority = GetAuthorityCertificate(); 
X509Certificate2 certificateToValidate = GetCertificateToValidate(); 

X509Chain chain = new X509Chain(); 
chain.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck; 
chain.ChainPolicy.RevocationFlag = X509RevocationFlag.ExcludeRoot; 
chain.ChainPolicy.VerificationFlags = X509VerificationFlags.AllowUnknownCertificateAuthority; 
chain.ChainPolicy.VerificationTime = DateTime.Now; 
chain.ChainPolicy.UrlRetrievalTimeout = new TimeSpan(0, 0, 0); 

// This part is very important. You're adding your known root here. 
// It doesn't have to be in the computer store at all. Neither certificates do. 
chain.ChainPolicy.ExtraStore.Add(authority); 

bool isChainValid = chain.Build(certificateToValidate); 

if (!isChainValid) 
{ 
    string[] errors = chain.ChainStatus 
     .Select(x => String.Format("{0} ({1})", x.StatusInformation.Trim(), x.Status)) 
     .ToArray(); 
    string certificateErrorsString = "Unknown errors."; 

    if (errors != null && errors.Length > 0) 
    { 
     certificateErrorsString = String.Join(", ", errors); 
    } 

    throw new Exception("Trust chain did not complete to the known authority anchor. Errors: " + certificateErrorsString); 
} 

// This piece makes sure it actually matches your known root 
var valid = chain.ChainElements 
    .Cast<X509ChainElement>() 
    .Any(x => x.Certificate.Thumbprint == authority.Thumbprint); 

if (!valid) 
{ 
    throw new Exception("Trust chain did not complete to the known authority anchor. Thumbprints did not match."); 
} 

Answer 2

यदि आप कहते हैं कि आपके पास रूट (जो स्वयं हस्ताक्षरित है) प्रमाणपत्र है, तो आपका एकमात्र विकल्प यह रूट प्रमाणपत्र आपके सर्वर पर उपलब्ध है (पाठ्यक्रम की निजी कुंजी के बिना) और प्रमाण पत्र सत्यापन प्रक्रिया के विरुद्ध आपका रूट प्रमाण पत्र यह सर्वर प्रमाण पत्र श्रृंखला को सत्यापित करने वाले वेब क्लाइंट की प्रतिबिंबित स्थिति है।

Answer 3

तुम भी X509Certificate2 के लिए विधि Verify() में बनाया का उपयोग कर सकते हैं।

X509Certificate2 certificateToValidate = GetCertificateToValidate(); 
bool valid = certificateToValidate.Verify() 

https://msdn.microsoft.com/en-us/library/system.security.cryptography.x509certificates.x509certificate2.verify.aspx