SslStream认证失败

Question

各位，我想写一些关于SSL的文章，问题是：

我在下面建造了一些东西：

• CA证书(自制CA)
• 服务器pfx、服务器证书、服务器密钥(由自制CA签名为"localhost")

现在我使用.Net SslStream来测试连接：(客户机和服务器处于不同的线程中，并且已经构建了)

客户端：

sslStream.AuthenticateAsClient("localhost");

服务器：

sslStream.AuthenticateAsServer(serverCert); 
//serverCert is X509Certificate2 built from "server.pfx"

客户端的AuthenticateAsClient方法将引发异常

“根据验证过程，远程证书无效。”

我想原因是服务器的证书是由不可信的CA签名的，所以身份验证失败了，那么我如何将CA证书添加到我的信任列表中呢？

我试图在客户端代码中添加下面的代码，但是它不能工作

        X509Store store = new X509Store(StoreName.TrustedPublisher, StoreLocation.CurrentUser);
        store.Open(OpenFlags.ReadWrite);
        store.Add(new X509Certificate2(Resources.CACertPath));
        store.Close();
        sslStream.AuthenticateAsClient("localhost");

Answer 1

下面的代码将避免Windows证书存储并验证链。

我认为没有理由将验证链所需的CA证书添加到证书存储区中的数百个证书中。这意味着Windows将尝试使用“数百+ 1”证书来验证链，而不是真正需要的一个证书。

在默认情况下，我还没有弄清楚如何使用这个链(chain2 )，这样就不需要回调了。也就是说，在ssl套接字上安装它，连接就会“正常工作”。我还没有弄清楚如何安装它，使其通过回调。也就是说，我必须为回调的每次调用构建链。我认为这些是.Net中的架构缺陷，但我可能遗漏了一些显而易见的东西。

函数的名称并不重要。下面，VerifyServerCertificate是与SslStream类中的RemoteCertificateValidationCallback相同的回调。您还可以将它用于ServicePointManager中的ServicePointManager。

static bool VerifyServerCertificate(object sender, X509Certificate certificate,
    X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
    try
    {
        String CA_FILE = "ca-cert.der";
        X509Certificate2 ca = new X509Certificate2(CA_FILE);

        X509Chain chain2 = new X509Chain();
        chain2.ChainPolicy.ExtraStore.Add(ca);

        // Check all properties
        chain2.ChainPolicy.VerificationFlags = X509VerificationFlags.NoFlag;

        // This setup does not have revocation information
        chain2.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;

        // Build the chain
        chain2.Build(new X509Certificate2(certificate));

        // Are there any failures from building the chain?
        if (chain2.ChainStatus.Length == 0)
            return true;

        // If there is a status, verify the status is NoError
        bool result = chain2.ChainStatus[0].Status == X509ChainStatusFlags.NoError;
        Debug.Assert(result == true);

        return result;
    }
    catch (Exception ex)
    {
        Console.WriteLine(ex);
    }

    return false;
}