まず第一に-@ devstuffによって記述されたソリューションを使用したので、お詫びします。しかし、私はそれを改善するいくつかの方法を見つけました。
- 自己署名証明書処理の追加
- 証明書の生データによる比較
- 実際の認証局の検証
- いくつかの追加のコメントと改善
これが私の変更です:
private static X509Certificate2 caCertificate2 = null;
private static bool ValidateServerCertficate(
object sender,
X509Certificate cert,
X509Chain chain,
SslPolicyErrors sslPolicyErrors)
{
if (sslPolicyErrors == SslPolicyErrors.None)
{
return true;
}
chain.ChainPolicy.VerificationFlags = X509VerificationFlags.AllowUnknownCertificateAuthority;
var returnedServerCert2 = new X509Certificate2(cert);
chain.ChainPolicy.ExtraStore.Add(caCertificate2);
bool isChainValid = chain.Build(returnedServerCert2);
if (!isChainValid)
{
string[] errors = chain.ChainStatus
.Select(x => String.Format("{0} ({1})", x.StatusInformation.Trim(), x.Status))
.ToArray();
string certificateErrorsString = "Unknown errors.";
if (errors != null && errors.Length > 0)
{
certificateErrorsString = String.Join(", ", errors);
}
Log.Error("Trust chain did not complete to the known authority anchor. Errors: " + certificateErrorsString);
return false;
}
bool isValid = chain.ChainElements
.Cast<X509ChainElement>()
.Any(x => x.Certificate.RawData.SequenceEqual(caCertificate2.GetRawCertData()));
if (!isValid)
{
Log.Error("Trust chain did not complete to the known authority anchor. Thumbprints did not match.");
}
return isValid;
}
証明書の設定:
caCertificate2 = new X509Certificate2("auth/ca.crt", "");
var clientCertificate2 = new X509Certificate2("auth/client.pfx", "");
デリゲートメソッドを渡す
ServerCertificateValidationCallback(ValidateServerCertficate)
client.pfx
KEYおよびCERT自体で生成されます。
openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx