如何根据 X509Certificate2Collection 链验证 X509Certificate2

2024-03-17

我正在编写一个 SAML 2.0 响应解析器来处理 ASP.Net 中的 POST 身份验证（在 C# 和 MVC 中，但这不太相关）。

所以我有一个.p7b要验证的文件并且可以读入X509Certificate2Collection以及示例断言 - Base 64 编码的 SAML 响应。

理想情况下我想使用内置的WSSecurityTokenSerializer, but 失败了 https://stackoverflow.com/questions/6108564，所以我正在寻找一种有效的方法。

我直接读取 XML：

// get the base 64 encoded SAML
string samlAssertionRaw = GetFromHttpRequest();

// load a new XML document
var assertion = new XmlDocument { PreserveWhitespace = true };
assertion.LoadXml(samlAssertionRaw);

// use a namespace manager to avoid the worst of xpaths
var ns = new XmlNamespaceManager(assertion.NameTable);
ns.AddNamespace("samlp", @"urn:oasis:names:tc:SAML:2.0:protocol");
ns.AddNamespace("saml", @"urn:oasis:names:tc:SAML:2.0:assertion");
ns.AddNamespace("ds", SignedXml.XmlDsigNamespaceUrl);

// get the signature XML node
var signNode = assertion.SelectSingleNode(
    "/samlp:Response/saml:Assertion/ds:Signature", ns);

// load the XML signature
var signedXml = new SignedXml(assertion.DocumentElement);
signedXml.LoadXml(signNode as XmlElement);

// get the certificate, basically:
// signedXml.KeyInfo.OfType<KeyInfoX509Data>().First().
//     Certificates.OfType<X509Certificate2>().First()
// but with added checks
var certificate = GetFirstX509Certificate(signedXml);

// check the key and signature match
if (!signedXml.CheckSignature(certificate, true))
{
    throw new SecurityException("Signature check failed.");
}

// go on and read the SAML attributes from the XML doc

这一切都有效，但它所做的只是检查签名和X509Certificate2SAML 响应匹配中的公钥。它不会以任何方式验证它的来源，我需要在接受 SAML 身份验证之前执行此操作。

似乎有两种方法可以检查 SAML 响应中找到的证书 - 我可以这样做certificate.Verify()或者我可以用签名进行检查signedXml.CheckSignature(certificate, false).

然而两者都返回 false。

我认为这是因为它们正在机器商店或可能在网上进行检查（我不知道如何检查）。我想检查它们X509Certificate2Collection检索自.p7b文件 - 在机器上注册的证书应该被忽略，而只是.p7b证书已检查。

似乎没有任何方法可以通过X509Certificate2Collection到任一Verify or CheckSignature方法。

这是对 SAML 响应进行的正确检查吗？

有什么办法可以使用.p7b证书是我想要的方式吗？

您是否尝试过使用自定义X509Chain配置为搜索ExtraStore http://msdn.microsoft.com/en-us/library/system.security.cryptography.x509certificates.x509chainpolicy.extrastore.aspx验证过程中的证书。像下面这样：

// Placeholder for the certificate to validate
var targetCertificate = new X509Certificate2();
// Placeholder for the extra collection of certificates to be used
var certificates = new X509Certificate2Collection();

var chain = new X509Chain();

chain.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;
chain.ChainPolicy.ExtraStore.AddRange(certificates);

bool isValidCertificate = chain.Build(targetCertificate);

在示例中，吊销检查也被禁用，但如果您可以在线或离线访问 CRL，则可以启用它。

The ExtraStore应允许包含不在计算机/用户存储中的中间证书。但是，受信任的根证书可能需要位于计算机或用户存储中，具体取决于中指定的证书X509Chain因为否则你会得到一个UntrustedRoot失败。如果连根都不能在机器或用户存储中使用，您可以尝试沿着生成的链向上走，并保证您遇到的唯一错误是由于不受信任的根造成的，同时保证链根就是您想要的。期望基于X509Certificate2Collection你需要验证。

或者，您可以创建自己的自定义X509CertificateValidator http://msdn.microsoft.com/en-us/library/system.identitymodel.selectors.x509certificatevalidator.aspx仅考虑所提供的来验证证书X509Certificate2Collection.

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

如何根据 X509Certificate2Collection 链验证 X509Certificate2 的相关文章

获取计算机的MAC地址

我想使用c 访问计算机的mac地址我使用以下代码来访问 mac 地址但此代码存在一些问题 Code 1 foreach NetworkInterface nic in NetworkInterface GetAllNetworkInte
使用 SSL 设置 .Net IBM.XMS 客户端

我必须创建一个客户端来侦听队列上的消息正在使用 SSL 我正在 dot net 中进行开发我浏览了数百页的文档和论坛找到了一些清晰简洁的内容但看起来事实并非如此我有一个 jks 并且我能够 telnet 到正在发布队列的服务器下
使用成员作为实现者来实现接口

我有实现 IA 的 A 类现在我需要创建也应该实现 IA 的类 B B 类有 A 类的实例作为成员有什么方法可以定义A的实例实现B类中的IA吗 interfase IA void method1 void method2 void me
SignTool 错误：访问被拒绝

我尝试在安装了 VS2010 的 Windows Server 2008 R2 x64 上使用新的代码签名证书对 NET 应用程序进行authenticode 签名但 SignTool 始终响应访问被拒绝 SignTool exe sig
哪些 .NET 编程语言有 CodeDom 提供程序？

除了 C VB NET C 托管和 C CLI 和 F 之外哪些 NET 编程语言有自己的 CodeDom 提供程序我考虑过为 UnrealScript 制作一个但我遇到了一些奇怪的问题比如代码二进制运算符类型 http msdn
.NET IExtenderProvider (C#)

我正在尝试延长TextBox ComboBox and Panel控制使用IExtenderProvider但我无法让它正常工作我开始相信我还没有完全理解这个概念有人知道网络上有什么好的资源带有示例吗 IExtenderProvid
如何确定登录的Windows帐户是否已在域上进行身份验证[重复]

这个问题在这里已经有答案了可能的重复在客户端服务器应用程序中使用 Active Directory 对用户进行身份验证 https stackoverflow com questions 1337923 authenticating
如何在.NET 3.5中进行动态对象创建和方法调用

创建类对象的代码看起来如何 string myClass MyClass 上面的类型然后调用 string myMethod MyMethod 在那个物体上 Use Type GetType string http msdn micros
为什么 .NET 异步等待文件复制比同步 File.Copy() 调用消耗更多 CPU？

为什么下面的代码会产生 public static class Program public static void Main params string args var sourceFileName C Users ehoua Desk
在 C# 中实现动态代理的最佳方法是什么？

我需要在 C 中创建动态代理我希望这个类包装另一个类并采用它的公共接口转发对这些函数的调用 class MyRootClass public virtual void Foo Console Out WriteLine Foo int
SQL 查询在多用户环境中返回错误值

一段时间以来我们在我们的一个客户站点上发现了奇怪的数据完整性问题经过大量调查后我们现在已将其隔离为数据库调用如果两个用户同时调用同一个存储过程有时一个用户会得到另一个用户的结果我们设置了一个测试来验证这一点并且我们有一个循环
修饰符 async 对此项目无效

这似乎并不是数百个具有相同错误的其他问题的重复我把它们都看过了发现它们是无关的我正在制作一个小笔记应用程序并尝试从目录中读取文件按照 MSDN 示例我有以下代码但它给了我一个错误错误 1 修饰符 async 对此无效项目
用于 mvc3 日期格式和日期验证的文本框

我决定开始使用 MVC 3 并且在尝试将我的一个 Web 应用程序重做为 MVC3 时遇到了这个问题我的项目是这样设置的 public class Project public int ProjectID get set Required
如何隐藏 Windows 窗体中控件的大小调整手柄？

我有一个 UserControl 想在设计时隐藏调整大小手柄就像 TextBoxControl 一样它只有两个手柄左手柄和右手柄文本框的高度是固定的除非你说它是多行的在这种情况下文本框会显示所有九个大小调整手柄您需要实现一个
.NET 图形重影

我正在为我们正在开发的新应用程序制作一个示例 GUI 我已经决定了语言但我可以使用任何第 3 方 DLL 或插件或任何我需要的东西以使 GUI 尽可能无缝地工作他们希望它非常像 mac ubuntu vista Windows 7 所
使用32位应用程序获取syswow64目录

我正在尝试在系统目录中查找文件问题是当使用 Environment SystemDirectory 在 x64 计算机上我仍然获得 System32 目录而不是 Systemwow64 目录我需要在 x86 机器上获取 System
Spring Oauth2 使用 Spring Boot 2.0 返回 401 Unauthorized 错误

我正在尝试使用 spring oauth2 实现 SSO 对于 spring 1 5 x 它工作得很好但是一旦我将 oauth 服务器应用程序升级到 spring boot 2 2 3 RELEASE 我什至无法进入登录表单即将 ht
C# 证书生成框架

有谁知道可以生成公钥私钥 X 509 证书并签署这些证书的 C 框架 BouncyCastleCrypto 虽然这个名字很疯狂但我很确定它具有所有这些功能几乎所有 RFC 标准均已实施当我几年前使用它时它的文档记录很少但是单元测
& 在 xml 文件中算作一个还是多个字符？

我正在使用的 XML 模式具有特定的字符串字符长度所以我可能有一个类似的字符串 Jim Mary 在 C 中是 10 个字符但是当它写入 xml 时它会变成 Jim amp Mary 如果 XML 模式规定字符串最多只能有 10 个字
EF数据库首先如何针对数据库更改更新模型？

在班级图书馆Ado net Entity Data Model已生成 POCO 类这些是第一次生成的但数据库更改并未得到反映在edmx图表右键单击并选择Update Model from Database显示新创建的表但即使选择添加

随机推荐

多个 Pod 的数据保护密钥轮换策略是什么？

I used services AddDataProtection PersistKeysToFileSystem path ProtectKeysWithAzureKeyVault authData 加密数据保护密钥部署后 24 小时内
AWS Lambda 中的“导入请求”没有层？

我在 Python 3 9 中有一个 lambda 函数它非常简单只需发送一个帖子请求过去几周效果很好我已在 CloudFormation 中多次删除并重新创建堆栈但没有出现任何问题随机地今天它开始抛出错误 errorMess
VB Visual Studio 不更新 bin/debug 文件夹

一位朋友正在 Visual Studio 2010 Express 中编写 Visual Basic 程序突然在更改代码或修改表单后当我们去调试构建程序时 Visual Studio 拒绝更新程序它根本不更新 MyAppName
Json.net `JsonConstructor` 构造函数参数名称

当使用特定的 ctor 时JsonConstructor用于反序列化IList
如何将spark-submit的整个输出重定向到文件

因此我尝试将 apache Spark submit 命令的输出重定向到文本文件但某些输出无法填充文件这是我正在使用的命令 spark submit something py gt results txt 我可以在终端中看到输出但在
Jacoco 报告称，在 Android 项目中，单元测试对 Kotlin 类的覆盖率为 0

我正在使用 Android Gradle 插件 3 0 0 我正在将 Android 应用程序从 java 迁移到 kotlin 我的应用程序有 Java 和 Kotlin 中的类并且测试是用 Java 编写的 I run gradlew
重新调整一个因素

给定一个无序因子 ID 每个级别的排名的参考向量以及每个级别的标签现在我想按给定的排名对 ID 进行排序然后我想覆盖因子中的标签如果有更好的方法您能否提供建议 ID lt factor c 1 2 2 3 1 3 3 2 1 1 1
gitignore 按文件大小？

我正在尝试实现 Git 来管理创意资产 Photoshop Illustrator Maya 等并且我想根据文件大小而不是扩展名位置等从 Git 中排除文件例如我不想排除所有 avi 文件但随机目录中有一些我不想提交的大量 1GB
将搜索栏添加到 WordPress 的导航菜单中

http www lundarienpress com http www lundarienpress com 这是一个 WordPress 网站这是我的网站我正在尝试将搜索栏添加到导航菜单并将其放在右侧有任何想法吗我还没有找到办法
如何使用 Xcode 4.3.2 打开 objectVersion 38 的 Xcode 项目

我有一个 Xcode 项目MyProject pbproj其中一个项目文件project pbxproj拥有财产objectVersion 38 当我尝试使用 Xcode 打开它时我收到消息无法加载处的项目项目版本不兼容我的Xco
如何将操作链接包含到按钮的标签中？

我的目标是在标签中包含一个操作链接显示帮助文本 selectInput button library shiny ui lt fluidPage br selectInput inputId some id label Please ch
自更新到 Swift 1.2 以来，字典现在给出错误“无法转换为 BooleanLiteralConvertible”

我刚刚开始了解 Swift 然后出现了 Swift 1 2 破坏了我的工作代码我有一个基于代码示例的函数NSHipster CGImageSourceCreateThumbnailAtIndex http nshipster com im
使用 XSLT 更改 XML 文件中的一个标签名称

我是否可以在 XSLT 中设置条件以便仅查找并替换特定标记名称的第一个标记例如我有一个 XML 文件其中包含许多内容
使用 php artisanserve 无法加载公共文件夹中的任何 js / css？

我有xampp控制面板v3 2 2 php版本5 6 24 我的laravel版本是5 4 32 在 Windows 7 32 位中我正在使用 Laravel 创建项目composer create project laravel lar
是否使用JTA事务？

我正在开发一个部署在 JBoss 应用程序服务器上的 J2EE 应用程序该应用程序由 EJB 2 x 组件和 Web 组件组成运行在本地计算机或远程服务器上数据库是 Oracle 或 SQL Server 并且不处于分布式环境中我使
通过 Istio 入口网关的 TLS 握手失败 (tlsMode=passthrough)

从外部客户端到 Kubernetes 集群内服务器的 TLS 握手失败这是关于理解原因我已将 Istio 入口网关配置为通过端口 15433 上收到的 TLS 并将其路由到端口 433 上的服务器入口网关日志显示客户端尝试 TLS 握
在 VSTS 中执行运行功能测试任务时出错

在 VSTS 2015 中我们在使用 NUnit 测试框架的项目中构建和发布管道设置我们正在尝试使用运行功能任务配置集成测试用例执行任务配置如下面的屏幕截图所示可视化测试代理部署任务用于在目标计算机中部署 NUnit 测试代理
每 5 秒使用 jquery/javascript 读取 XML

我有一个html 索引 html Tasks span 0 span Messages span 0 span Notifications span 0 span
Spring Rest 客户端异常处理

我正在使用弹簧RestTemplate消耗休息服务在春季休息中暴露我能够消费成功场景但对于负面情况服务会返回错误消息和错误代码我需要在我的网页中显示这些错误消息例如对于无效请求服务抛出异常HttpStatus BAD REQU
如何根据 X509Certificate2Collection 链验证 X509Certificate2

我正在编写一个 SAML 2 0 响应解析器来处理 ASP Net 中的 POST 身份验证在 C 和 MVC 中但这不太相关所以我有一个 p7b要验证的文件并且可以读入X509Certificate2Collection以及示例断言

如何根据 X509Certificate2Collection 链验证 X509Certificate2

如何根据 X509Certificate2Collection 链验证 X509Certificate2 的相关文章

随机推荐

热门标签