我有以下的代码,试图验证对CA服务器证书在我的私人PKI。 它与使用ServicePointManager
和RemoteCertificateValidationCallback
:
static bool VerifyServerCertificate(object sender, X509Certificate certificate,
X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
X509Certificate2 ca = new X509Certificate2();
ca.Import("ca-rsa-cert.der");
X509Chain chain2 = new X509Chain();
chain2.ChainPolicy.ExtraStore.Add(ca);
// Check all properties
chain2.ChainPolicy.VerificationFlags = X509VerificationFlags.NoFlag;
// This setup does not have revocation information
chain2.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;
chain2.Build(new X509Certificate2(certificate));
if (chain2.ChainStatus.Length == 0)
{
return true;
}
bool result = chain2.ChainStatus[0].Status == X509ChainStatusFlags.NoError;
Debug.Assert(result == true);
return result;
}
问题是, chain2.ChainStatus.Length
始终为0。
如果我设置X509RevocationMode
到X509RevocationMode.Online
,然后ChainStatus.Length == 1
,状态设置为X509ChainStatusFlags.RevocationStatusUnknown
。 (其预料之中,因为没有撤销在试验台)。
问 :什么是一个0长度ChainStatus.Length
是什么意思?
问 :如果成功,那么为什么X509ChainStatusFlags.NoError
不使用?