如何根据证书主题验证规范名称（通用名称，cn）？

Question

在C＃中，我创建了一个这样的SSL连接到服务器：

var hostname = "www.example.com"; 
var client = new TcpClient(hostname, 443); 
var sslStream = new SslStream(client.GetStream()); 
sslStream.AuthenticateAsClient(hostname); 

以上完成后没有抛出任何异常，我知道服务器证书已经过验证和主机名充分主题相符。主题是通过财产sslStream.RemoteCertificate.Subject这是在DN格式的字符串，像

CN=www.example.com, O=Example Inc, L=New York, S=New York, C=US 

或

CN=*.example.com, OU=Certificate Authority Validated 

深奥原因无法访问，我想验证针对相同的另一个字符串（另一个主机名）证书主题。如何正确验证某个特定主机名是否与证书的主题匹配？

Answer 1

下面是相关标准：RFC2818 Section 3.1。

特别重要的：这个问题问如何解析的主题字符串，而正确答案是：一般情况下，你不应该这样做。解析主题字符串已被弃用，因为至少在编写RFC2818时支持subjectAltName.dNSName。

这里的单执行：（下面的文件搜索checkServerIdentity） https://github.com/mono/mono/blob/master/mcs/class/Mono.Security/Mono.Security.Protocol.Tls.Handshake.Client/TlsServerCertificate.cs

我以前发布的这个信息作为编辑的问题，并说这不能算作一个答案，因为代码是不完整 - 标记为TODO和DEPRECATED的部分。但是现在我已经更仔细地查看了代码和RFC，并发现RFC标准需要注释，并且TODO评论实际上已经完成 - 显然有人忘记删除TODO评论。

Answer 2

如果你要模拟的SSL主题名称验证，你将不得不做一些工作，因为这个过程是不是很简单。以下是在证书中实施主题名称验证的指导：

1. 评估X509Certificate2对象的主题替代名称扩展名。如果本扩展不存在时，则：

1.1。使用以下正则表达式模式从证书中提取CN属性：'CN=([^,]+)'并使用所需的名称对其进行验证。由于CN属性可能包含通配符，因此应使用正则表达式对其进行验证。这是一个简单的通配符类的例子。

class Wildcard : Regex { 
    public Wildcard(String pattern) : base(WildcardToRegex(pattern)) { } 
    public Wildcard(String pattern, RegexOptions options) : base(WildcardToRegex(pattern), options) { } 
    public static String WildcardToRegex(String pattern) { 
     return "^" + Escape(pattern).Replace("\\*", ".*") + "$"; 
    } 
} 

如果SAN扩展被呈现，忽略主题字段的验证和在一个相同的方式使用地址验证针对DNSNAME和的IPAddress替代名称的集合。

如果步骤1或2成功，检查整个证书链（到根certtificate）为名称约束扩展端验证：

3.1。如果名称约束定义了排除部分，请验证其他名称是否与列表中的任何条目不匹配。否则，该证书的名称不被允许（步骤3.2未执行）。

3.2。如果名称约束定义包含部分，请验证其他名称是否与本节中的任何条目相匹配。如果其他名称不属于“包含”部分中的任何条目，则该名称不适用于此证书。

不幸的是，.NET不具有代表竟被一个SAN扩展的本地类，所以你必须编写自己的解码器或使用我自己的.NET扩展库（PKI.Core.dll）从PowerShell PKI project

下面类代表SAN扩展：http://pkix2.sysadmins.lv/library/html/T_System_Security_Cryptography_X509Certificates_X509SubjectAlternativeNamesExtension.htm