Po pierwsze - przepraszam, bo korzystałem z rozwiązania, które opisał @devstuff. Jednak znalazłem kilka sposobów, aby to poprawić.
- dodanie obsługi certyfikatów z podpisem własnym
- porównanie według danych surowych certyfikatów
- faktyczna walidacja urzędu certyfikacji
- kilka dodatkowych komentarzy i ulepszeń
Oto moja modyfikacja:
private static X509Certificate2 caCertificate2 = null;
private static bool ValidateServerCertficate(
object sender,
X509Certificate cert,
X509Chain chain,
SslPolicyErrors sslPolicyErrors)
{
if (sslPolicyErrors == SslPolicyErrors.None)
{
return true;
}
chain.ChainPolicy.VerificationFlags = X509VerificationFlags.AllowUnknownCertificateAuthority;
var returnedServerCert2 = new X509Certificate2(cert);
chain.ChainPolicy.ExtraStore.Add(caCertificate2);
bool isChainValid = chain.Build(returnedServerCert2);
if (!isChainValid)
{
string[] errors = chain.ChainStatus
.Select(x => String.Format("{0} ({1})", x.StatusInformation.Trim(), x.Status))
.ToArray();
string certificateErrorsString = "Unknown errors.";
if (errors != null && errors.Length > 0)
{
certificateErrorsString = String.Join(", ", errors);
}
Log.Error("Trust chain did not complete to the known authority anchor. Errors: " + certificateErrorsString);
return false;
}
bool isValid = chain.ChainElements
.Cast<X509ChainElement>()
.Any(x => x.Certificate.RawData.SequenceEqual(caCertificate2.GetRawCertData()));
if (!isValid)
{
Log.Error("Trust chain did not complete to the known authority anchor. Thumbprints did not match.");
}
return isValid;
}
ustawianie certyfikatów:
caCertificate2 = new X509Certificate2("auth/ca.crt", "");
var clientCertificate2 = new X509Certificate2("auth/client.pfx", "");
przekazywanie metody delegata
ServerCertificateValidationCallback(ValidateServerCertficate)
client.pfx
jest generowany za pomocą KEY i CERT jako takich:
openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx