如何验证数字证书的有效性 信息安全

一、有效期
证书的有效期验证这个比较简单，就是使用时间在必须在证书起始和结束日期之间才有效，通过解析X509对象很容易获取起止时间，判断证书有效期代码如下：
/// <summary>
/// 有效期验证
/// </summary>
/// <param name="cert"></param>
/// <returns></returns>
public static bool CheckDate(string cert)
{
byte[] bt = ConvertFromBase64String(cert);
SystemSecurityCryptographyX509CertificatesX509Certificate2 x509
= new SystemSecurityCryptographyX509CertificatesX509Certificate2(bt);
string date = x509GetExpirationDateString();
DateTime dtex = ConvertToDateTime(date);
DateTime dtnow = DateTimeNow;
DateTime dteff = ConvertToDateTime(x509GetEffectiveDateString());
if (dteff < dtnow && dtnow < dtex)
{
return true;
}
return false;
}
二、颁发根证书
每个数字证书都有颁发根证书的签名，验证证书就是用根证书公钥来验证证书颁发者签名。首先，必须要找到数字证书的颁发根证书，Windows本身集成一些权威的受信任的根证书颁发机构，如VeriSign等，如果不在受信任的证书列表，我们打开证书会显示“Windows 没有足够信息，不能验证该证书”，当然我们可以把根证书加到受信任的根证书列表，这样证书就可以显示正常。
一般带证书链的数字证书中会包含证书颁发机构颁发者，逐级验证到最顶级根证书，每一级都用上级颁发根证书验证证书签名，直到证书颁发者和使用者一样自己可以验证自己通过。根证书的基本约束会不一样，Subject Type=CA代表可以签发证书，而一般的用户证书为Subject Type=End Entity，为终端实体不能再签发证书。
三、CRL验证
CRL是经CA签名的证书作废列表，用于做证书冻结和撤销时对证书有效性状态控制。一般数字证书中都有 CRL分发点地址，提供了>使用IE浏览器的朋友在访问一些网站时也许会见过这样的提示“该站点安全证书的吊销信息不可用是否继续 ”通常来说，我们使用IE登录邮箱，网银，或者淘宝等都会出现这样的提示安全警报。首先要确认的一点，这种现象一般不会涉及到正真的所谓安全问题，只不过是一种突发性的系统认证错误。(个人观点) 当我们在使用>

TLS/SSL的功能实现主要依赖于三类基本算法：散列函数 Hash、对称加密和非对称加密，其利用非对称加密实现身份认证和密钥协商，对称加密算法采用协商的密钥对数据加密，基于散列函数验证信息的完整性。

解决上述身份验证问题的关键是确保获取的公钥途径是合法的，能够验证服务器的身份信息，为此需要引入权威的第三方机构CA。CA 负责核实公钥的拥有者的信息，并颁发认证"证书"，同时能够为使用者提供证书验证服务，即PKI体系。

基本的原理为，CA负责审核信息，然后对关键信息利用私钥进行"签名"，公开对应的公钥，客户端可以利用公钥验证签名。CA也可以吊销已经签发的证书，基本的方式包括两类 CRL 文件和 OCSP。CA使用具体的流程如下：

如何手动导入 CRL本主题说明如何手动导入证书吊销列表 (CRL)。开始之前开始之前在控制台上或通过终端会话，使用作为本地 Administrators 组成员的帐户登录到收件人的 Exchange 服务器。步骤步骤手动导入 CRL手动导入 CRL 1 从数字证书中指定的 CRL 分发点下载 CRL。 2 用鼠标右键单击 cer 或 crl 文件，再单击“安装证书”或“安装 CRL”，然后单击“下一步”。 3 当打开“证书导入向导”时，单击“根据证书类型，自动选择证书存储区”。

有2种方法可以试一下。

1、当d出“该站点安全证书的吊销信息不可用。是否继续？”的对话框时，点击“查看证书”，切换到“详细信息”TAB页，找到其“CRL分发点”的URL，复制下来，用迅雷等下载工具或找一台可以正常访问该URL的机器将该文件下载后并复制过来。点击鼠标右键，选择“安装”，按照向导完成安装。此时再重浏览该站点就不会再收到“不能检查服务器证书的吊销信息”了。当然，当超过了“下一次的更新”日期，运气不佳的你可能又需要重做一次。2、打开Internet Explorer浏览器——工具——Internet选项——高级，如下 *** 作：

希望可以帮到你

---