WCF證書鏈，通過編程驗證

Question

我試圖以編程方式使用證書，而不是使用存儲。我正在創建X509Certificate2的文件名和密碼。

當我手動將根證書添加到受信任的人的證書存儲區時，這可以正常工作。但是，我寧願不必在每次部署時都這樣做 - 我寧願以編程方式處理它。

當我從證書存儲中刪除根證書時，出現異常。

我已閱讀的一切似乎都說我必須手動將根證書添加到證書存儲區，否則信任鏈將無法工作。

問：是否有編程方式來設置信任鏈，因此我不必手動執行此操作？

代碼如下：

 var serverCert = new X509Certificate2("FullPathToMyCertificate.cer", "Password"); 
     Client.ClientCredentials.ServiceCertificate.DefaultCertificate = serverCert; 

例外，當我嘗試使用客戶端這occures是：

System.IdentityModel.Tokens.SecurityTokenValidationException 

The X.509 certificate CN=notrealcertname, OU=TPA, OU=BMP, OU=Projects, O=Somebody, C=US is not in the trusted people store. 
The X.509 certificate CN=notrealcertname, OU=TPA, OU=BMP, OU=Projects, O=Somebody, C=US chain building failed. 
The certificate that was used has a trust chain that cannot be verified. 
Replace the certificate or change the certificateValidationMode. 
A certificate chain could not be built to a trusted root authority. 

Answer 1

所使用的組件在默認情況下驗證鏈 - 當鏈條無法驗證你得到的例外。 如果你想要做的一切，包括在代碼中鏈的驗證，那麼你需要implement "custom validation" and integrate that into the WCF Host：

Client.ServiceCertificate.Authentication.CertificateValidationMode = 
       X509CertificateValidationMode.Custom; 
Client.ServiceCertificate.Authentication.CustomCertificateValidator = 
    new MyCertificateValidator(); 

另一種辦法是禁用完全驗證（不用於生產!!!）

Client.ServiceCertificate.Authentication.CertificateValidationMode = 
       X509CertificateValidationMode.None; 

編輯 - 後評論：

用於驗證鏈接自己，你應該看看X509Chain和X509Store - 瞭解如何實現這樣一個鏈式驗證可以看看Verify的Mono's implementation ...基本上你使用Find方法來搜索X509Certificate2Collection父母等在...驗證標準與自定義驗證由您決定（有效簽名，未過期...）。

在MSDN一些參考鏈接：

• http://msdn.microsoft.com/en-us/library/system.servicemodel.security.x509servicecertificateauthentication.certificatevalidationmode.aspx

• http://msdn.microsoft.com/en-us/library/system.identitymodel.selectors.x509certificatevalidator.aspx

• http://msdn.microsoft.com/en-us/library/ms733806.aspx