我在线模式验证证书撤销,但CRL分发点中提到的URL没有得到命中,如果CRL已被缓存在内存中。我正在使用fiddler来验证URL是否被访问。我正在执行这些步骤。问题X509RevocationMode.Online在撤销证书验证
- 运行提琴手。
- 开始证书验证
X509RevocationMode.Online
- 验证小提琴手,CRL分发点中提到的网址没有被捕获。
- 从内存中清除在
X509RevocationMode.Online
- 的CRL由命令
certutil -urlcache CRL delete
- 开始证书验证现在提琴手陷入CRL分发点中提到的URL。
从上面的步骤可以明显看出,只有当CRL没有被缓存时,CRL的URL才会被命中。现在我的问题是:
- 在线模式下访问CRL分发点中的URL提及的情况是什么?
- 如果CRL已被缓存,X509Certificate如何验证CRL是否已更新或没有点击URL?
- 我是否错过了CRL的概念?
这里是我的代码
private void BuildCertificateChain(X509Certificate2 certificate)
{
string error = null;
X509Chain certificateChain = new X509Chain();
certificateChain.ChainPolicy.RevocationFlag = X509RevocationFlag.EntireChain;
certificateChain.ChainPolicy.VerificationTime = DateTime.Now;
certificateChain.ChainPolicy.RevocationMode = X509RevocationMode.Online;
certificateChain.ChainPolicy.UrlRetrievalTimeout = new TimeSpan(0, 0, 15);
try
{
if (certificateChain.Build(certificate))
{
foreach (X509ChainElement element in certificateChain.ChainElements)
{
Trace.WriteLine(string.Format("Issuer = {0}\nSubject = {1}", element.Certificate.Issuer, element.Certificate.Subject));
element.Certificate.Verify();
}
}
else
{
error = string.Format("File {0} digital signature seems to be not valid due to a certificate in certificate chain being revoked. Revocation reasons are:\n", filename);
foreach (X509ChainStatus status in certificateChain.ChainStatus)
{
error += status.StatusInformation;
}
}
}
catch (Exception ex)
{
error = string.Format("Exception building certificate chain for executing application {0}. The error is {1}", _executingAppFileName, ex.Message);
}
if (!string.IsNullOrEmpty(error))
{
//SetError(error);
}
}
}
请记住,upvote有用的答案,并“检查”最好的回答你的问题。 – 2013-05-10 09:55:29
别担心,欣赏是我的习惯......但让我明确所有疑问。 :) – PawanS 2013-05-10 10:25:58