如何根據證書主題驗證規範名稱（通用名稱，cn）？

Question

在C＃中，我創建了一個這樣的SSL連接到服務器：

var hostname = "www.example.com"; 
var client = new TcpClient(hostname, 443); 
var sslStream = new SslStream(client.GetStream()); 
sslStream.AuthenticateAsClient(hostname); 

以上完成後沒有拋出任何異常，我知道服務器證書已經過驗證和主機名充分主題相符。主題是通過財產sslStream.RemoteCertificate.Subject這是在DN格式的字符串，像

CN=www.example.com, O=Example Inc, L=New York, S=New York, C=US 

或

CN=*.example.com, OU=Certificate Authority Validated 

深奧原因無法訪問，我想驗證針對相同的另一個字符串（另一個主機名）證書主題。如何正確驗證某個特定主機名是否與證書的主題匹配？

Answer 1

下面是相關標準：RFC2818 Section 3.1。

特別重要的：這個問題問如何解析的主題字符串，而正確答案是：一般情況下，你不應該這樣做。解析主題字符串已被棄用，因爲至少在編寫RFC2818時支持subjectAltName.dNSName。

這裏的單執行：（下面的文件搜索checkServerIdentity） https://github.com/mono/mono/blob/master/mcs/class/Mono.Security/Mono.Security.Protocol.Tls.Handshake.Client/TlsServerCertificate.cs

我以前發佈的這個信息作爲編輯的問題，並說這不能算作一個答案，因爲代碼是不完整 - 標記爲TODO和DEPRECATED的部分。但是現在我已經更仔細地查看了代碼和RFC，並發現RFC標準需要註釋，並且TODO評論實際上已經完成 - 顯然有人忘記刪除TODO評論。

Answer 2

如果你要模擬的SSL主題名稱驗證，你將不得不做一些工作，因爲這個過程是不是很簡單。以下是在證書中實施主題名稱驗證的指導：

1. 評估X509Certificate2對象的主題替代名稱擴展名。如果本擴展不存在時，則：

1.1。使用以下正則表達式模式從證書中提取CN屬性：'CN=([^,]+)'並使用所需的名稱對其進行驗證。由於CN屬性可能包含通配符，因此應使用正則表達式對其進行驗證。這是一個簡單的通配符類的例子。

class Wildcard : Regex { 
    public Wildcard(String pattern) : base(WildcardToRegex(pattern)) { } 
    public Wildcard(String pattern, RegexOptions options) : base(WildcardToRegex(pattern), options) { } 
    public static String WildcardToRegex(String pattern) { 
     return "^" + Escape(pattern).Replace("\\*", ".*") + "$"; 
    } 
} 

如果SAN擴展被呈現，忽略主題字段的驗證和在一個相同的方式使用地址驗證針對DNSNAME和的IPAddress替代名稱的集合。

如果步驟1或2成功，檢查整個證書鏈（到根certtificate）爲名稱約束擴展端驗證：

3.1。如果名稱約束定義了排除部分，請驗證其他名稱是否與列表中的任何條目不匹配。否則，該證書的名稱不被允許（步驟3.2未執行）。

3.2。如果名稱約束定義包含部分，請驗證其他名稱是否與本節中的任何條目相匹配。如果其他名稱不屬於「包含」部分中的任何條目，則該名稱不適用於此證書。

不幸的是，.NET不具有代表竟被一個SAN擴展的本地類，所以你必須編寫自己的解碼器或使用我自己的.NET擴展庫（PKI.Core.dll）從PowerShell PKI project

下面類代表SAN擴展：http://pkix2.sysadmins.lv/library/html/T_System_Security_Cryptography_X509Certificates_X509SubjectAlternativeNamesExtension.htm