在HTTPS请求期间验证远程SSL证书

Question

向远程Web服务器发出HTTPS请求时，我使用WebRequest，它建立与远程Web服务器的安全连接。在开发过程中，我使用服务器上的自签名证书，并且WebRequest无法建立安全连接，因为证书无效，这是预期的行为。

我发现此代码“远程”证书检查，通过在以下代码中调用SetCertificatePolicy()方法来激活。

public static void SetCertificatePolicy() 
{ 
    ServicePointManager.ServerCertificateValidationCallback 
       += RemoteCertificateValidate; 
} 

/// <summary> 
/// Remotes the certificate validate. 
/// </summary> 
private static bool RemoteCertificateValidate(
    object sender, X509Certificate cert, 
    X509Chain chain, SslPolicyErrors error) 
{ 
    // trust any certificate!!! 
    System.Console.WriteLine("Warning, trust any certificate"); 
    return true; 
} 

我想知道，如果它是可以做到远程SSL证书专项检查（使用上面的代码，例如），这样我就可以验证远程Web服务器使用有效的SSL证书，而不是任何有效的证书，但恰恰是我想要的证书？例如，我想确保我正在与www.someplace.com网站交谈，向ACME公司颁发证书，指纹00:11:22：.....

什么是“最佳实践“这种情况下的方法？

谢谢！

Answer 1

如果您确实想要将其指定为一个特定的证书，您可以将证书数据（DER格式）与certificate.GetRawCertData()中的byte[]进行比较。

您还可以使用GetCertHashString()和Subject对RemoteCertificateValidate中的certificate参数进行获取。主机名称应该在证书的主题备选名称中，或者如果主题（专有名称）的CN中没有主题备选名称。考虑到.NET格式化主题字符串的方式，这应该是您在那里找到的第一个CN =。

如果certificate是X509Certificate2的实例，那么您还将获得更多数据。然后，您将能够获得SubjectName作为X500PrincipalName以及Extensions（以检查主题替代名称扩展名）。使用诸如BouncyCastle之类的工具来解析主题名称可能很有用。

根据运行时类型的不同，您也可能会获得更多有关您尝试联系sender中的主机名的信息。