我們是否需要始終在機器上安裝根證書？

Question

我正在使用智能卡對用戶進行身份驗證。我有一個認證服務（SecurityTokenService），它處理服務器上的認證邏輯。

我正在使用X509Certificate2.Verify()來驗證證書。由於此API可通過聯機並聯系證書頒發機構（CA）來檢查證書是否有效/撤銷，我需要在服務器上使用根證書嗎？

我們可以避免在本地計算機上擁有根證書嗎？或者根證書總是強制性的？

Answer 1

我嘗試了一些東西，這裏有意見：

1. 首先X509Certificate2.Verify()，如果在鏈中的所有證書被吊銷不檢查。從this後我開始知道Verify方法在內部使用Crypt32 CertVerifyCertificateChainPolicy函數。它的文檔說它不執行證書撤銷檢查。簡而言之，Verify方法只是檢查被調用的證書是否被撤銷。

2. 關於根證書：

   • 如果您正在使用X509Certificate2.Verify()和根證書不存在，則該方法將返回決絕false。所以用這種方法根證書是絕對必需的。
   • 如果您使用X509Chain構建信任鏈，那麼您可以決定whether to exclude root certificate revocation或者是否爲go online/offline to verify revocation status的證書。
   • 但是，無論您是否聯機，或者您排除了根證書，如果根證書丟失，您將在ChainStatus中獲得PartialChain值。因此，要構建完整的信任鏈，您的計算機上需要一個根證書。

希望這可以幫助別人誰想要知道更多一點關於證書驗證在C＃。