Метод X509Certificate2.Verify () всегда возвращает false для действительного сертификата

Значения X509VerificationFlags являются подавляемыми, поэтому указание X509VerificationFlags.AllFlags фактически не позволяет Build возвращать false в большинстве ситуаций.

Ответ RevocationStatusUnknown кажется особенно актуальным. Независимо от того, какой сертификат он сообщает, что невозможно проверить, он не может быть отозван. Метод Verify можно смоделировать как

public bool Verify()
{
    using (X509Chain chain = new X509Chain())
    {
        // The defaults, but expressing it here for clarity
        chain.ChainPolicy.RevocationMode = X509RevocationMode.Online;
        chain.ChainPolicy.RevocationFlag = X509RevocationFlag.ExcludeRoot;
        chain.ChainPolicy.VerificationTime = DateTime.Now;
        chain.ChainPolicy.VerificationFlags = X509VerificationFlags.NoFlag;

        return chain.Build(this);
    }
}

Что, поскольку он не утверждает X509VerificationFlags.IgnoreCertificateAuthorityRevocationUnknown или X509VerificationFlags.IgnoreEndRevocationUnknown при запросе X509RevocationMode, отличного от None, не выполняется.

Во-первых, вы должны определить, какие сертификаты в цепочке не работают:

using (X509Chain chain = new X509Chain())
{
    // The defaults, but expressing it here for clarity
    chain.ChainPolicy.RevocationMode = X509RevocationMode.Online;
    chain.ChainPolicy.RevocationFlag = X509RevocationFlag.ExcludeRoot;
    chain.ChainPolicy.VerificationTime = DateTime.Now;

    chain.Build(cert);

    for (int i = 0; i < chain.ChainElements.Count; i++)
    {
        X509ChainElement element = chain.ChainElements[i];

        if (element.ChainElementStatus.Length != 0)
        {
            Console.WriteLine($"Error at depth {i}: {element.Certificate.Subject}");

            foreach (var status in element.ChainElementStatus)
            {
                Console.WriteLine($"  {status.Status}: {status.StatusInformation}}}");
            }
        }
    }
}

Если вы посмотрите на какой-либо сбойный сертификат в Windows CertUI (дважды щелкните .cer в проводнике или в оснастке Certificates MMC), найдите поле с именем «CRL Distribution Points». Это URL-адреса, которые будут получены во время выполнения. Возможно, в вашей системе есть ограничение на исходящие данные, которое не позволяет запрашивать эти конкретные значения. Вы всегда можете попробовать отправить веб-запрос от своего веб-сервиса, чтобы узнать, может ли он получить URL-адреса без контекста нахождения в подсистеме сертификатов.

Я думаю, проблема связана с прокси-сервером и некоторыми настройками безопасности в моей организации. Я не могу указать вескую причину, почему он работает из клиента WinForm, а почему нет из кода, размещенного под IIS.

Но я хочу сообщить читателям, что метод Verify() работал и с серверным кодом, когда я размещал службу в IIS, работающую на машине за пределами моего обычного домена! Таким образом, вы можете проверить, не мешают ли вам настройки брандмауэра вашего домена / организации.