我们是否需要始终在机器上安装根证书？

Question

我正在使用智能卡对用户进行身份验证。我有一个认证服务（SecurityTokenService），它处理服务器上的认证逻辑。

我正在使用X509Certificate2.Verify()来验证证书。由于此API可通过联机并联系证书颁发机构（CA）来检查证书是否有效/撤销，我需要在服务器上使用根证书吗？

我们可以避免在本地计算机上拥有根证书吗？或者根证书总是强制性的？

Answer 1

我尝试了一些东西，这里有意见：

1. 首先X509Certificate2.Verify()，如果在链中的所有证书被吊销不检查。从this后我开始知道Verify方法在内部使用Crypt32 CertVerifyCertificateChainPolicy函数。它的文档说它不执行证书撤销检查。简而言之，Verify方法只是检查被调用的证书是否被撤销。

2. 关于根证书：

   • 如果您正在使用X509Certificate2.Verify()和根证书不存在，则该方法将返回决绝false。所以用这种方法根证书是绝对必需的。
   • 如果您使用X509Chain构建信任链，那么您可以决定whether to exclude root certificate revocation或者是否为go online/offline to verify revocation status的证书。
   • 但是，无论您是否联机，或者您排除了根证书，如果根证书丢失，您将在ChainStatus中获得PartialChain值。因此，要构建完整的信任链，您的计算机上需要一个根证书。

希望这可以帮助别人谁想要知道更多一点关于证书验证在C＃。