校驗證書鏈

⑴ 根證書的具體組成

從技術復上講，證書其實包含三部分，制用戶的信息，用戶的公鑰，還有CA中心對該證書裡面的信息的簽名。驗證一份證書的真偽（即驗證CA中心對該證書信息的簽名是否有效），需要用CA 中心的公鑰驗證，而CA中心的公鑰存在於對這份證書進行簽名的證書內，故需要下載該證書，但使用該證書驗證又需先驗證該證書本身的真偽，故又要用簽發該證書的證書來驗證，這樣一來就構成一條證書鏈的關系，這條證書鏈在哪裡終結呢？答案就是根證書，根證書是一份特殊的證書，它的簽發者是它本身，下載根證書就表明您對該根證書以下所簽發的證書都表示信任，而技術上則是建立起一個驗證證書信息的鏈條，證書的驗證追溯至根證書即為結束。所以說用戶在使用自己的數字證書之前必須先下載根證書。

⑵ 如何：指定用於驗證簽名的證書頒發機構證書鏈 (WCF)

例如，如果 SOAP 消息接收方打算信任由 Microsoft 頒發的 X.509 證書，則必須將 Microsoft 的證書頒發機構證書鏈安裝到對 WCF 進行設置以使其從中尋找 X.509 證書的證書存儲區中。WCF 在其中尋找 X.509 證書的證書存儲區可以在代碼或配置中指定。例如，這可以在代碼中使用 SetCertificate 方法指定，或者在配置中通過包括 的 元素在內的幾個方式指定。因為Windows 附帶有一組默認的用於受信任證書頒發機構的證書鏈，所以可能不必為所有證書頒發機構安裝證書鏈。導出證書頒發機構證書鏈。具體導出方式取決於證書頒發機構。如果證書頒發機構正在運行 Microsoft 證書服務，請選擇「下載 CA 證書、證書鏈或 CRL」，然後選擇「下載 CA 證書」。導入證書頒發機構證書鏈。在Microsoft 管理控制台 (MMC) 中，打開證書管理單元。對於配置 WCF 以使其從中檢索 X.509 證書的證書存儲區，選擇「受信任的根證書頒發機構」文件夾。在「受信任的根證書頒發機構」文件夾下，右擊「證書」文件夾，指向「所有任務」，再單擊「導入」。提供在步驟 a 中導出的文件。有關在 MMC 中使用證書管理單元的更多信息，請參見如何：使用 MMC 管理單元查看證書。

⑶ 瀏覽器如何驗證HTTPS證書的合法性

用戶抄證書被中間證書襲信任，而中間證書被根證書信任，根證書又被瀏覽器信任，這樣一個完整的證書鏈使得瀏覽器可以在根證書庫內一次檢索用戶證書、中間證書和根證書，如果能匹配到根證書，那麼這一信任鏈上的所有證書都是合法的。

⑷ ssl證書的驗證過程

SSL證書一系列的驗證過程如下：

檢查SSL證書是否被頒發機構吊銷

檢查SSL證書中的證書吊銷列表，如果已經被吊銷，則會顯示警告信息：「此組織的證書已被吊銷。安全證書問題可能顯示試圖欺騙您或截獲您向伺服器發送的數據。建議關閉此網頁，並且不要繼續瀏覽該網站。」

檢查此SSL證書時間是否過期

檢查網站SSL證書的有效期限，如果證書已經過了有效期，則會顯示警告信息：「此網站出具的安全證書已過期或還未生效。安全證書問題可能顯示試圖欺騙您或截獲您向伺服器發送的數據。建議關閉此網頁，並且不要繼續瀏覽該網站。」

檢查網站的域名是否與證書中域名一致

檢查部署此SSL證書的網站的域名是否與證書中的域名一致，如果不一致，則瀏覽器也會顯示警告信息：「此網站出具的安全證書是為其他網站地址頒發的。安全證書問題可能顯示試圖欺騙您或截獲您向伺服器發送的數據。建議關閉此網頁，並且不要繼續瀏覽該網站。」

查詢此網站是否被列入欺詐黑名單

如果發現此網站已經被列入欺詐網站黑名單，則會顯示：「IE已發現一個已報告的仿冒網站。仿冒網站假冒其他網站並試圖欺騙您泄漏個人信息或財務信息。建議關閉此網頁，並且不要繼續瀏覽該網站。」

瀏覽器需經過以上幾個方面的檢查後，才會在頁面顯示安全鎖標志，正常顯示部署了SSL證書的加密頁面。以上是關於ssl證書驗證過程的介紹。

⑸ 增值稅發票開票軟體（稅務UKey版）提示：檢驗證書口令時異常未插USB KEY(0xA7)

稅務機關未將您的信息植入ukey中，需要去主管稅務局重新制證

⑹ 如何驗證數字證書的有效性 信息安全

一、有效期
證書的有效期驗證這個比較簡單，就是使用時間在必須在證書起始和結束日期之間才有效，通過解析X.509對象很容易獲取起止時間，判斷證書有效期代碼如下：
/// <summary>
/// 有效期驗證
/// </summary>
/// <param name="cert"></param>
/// <returns></returns>
public static bool CheckDate(string cert)
{
byte[] bt = Convert.FromBase64String(cert);
System.Security.Cryptography.X509Certificates.X509Certificate2 x509
= new System.Security.Cryptography.X509Certificates.X509Certificate2(bt);

string date = x509.GetExpirationDateString();
DateTime dtex = Convert.ToDateTime(date);
DateTime dtnow = DateTime.Now;
DateTime dteff = Convert.ToDateTime(x509.GetEffectiveDateString());

if (dteff < dtnow && dtnow < dtex)
{
return true;
}

return false;
}
二、頒發根證書
每個數字證書都有頒發根證書的簽名，驗證證書就是用根證書公鑰來驗證證書頒發者簽名。首先，必須要找到數字證書的頒發根證書，Windows本身集成一些權威的受信任的根證書頒發機構，如VeriSign等，如果不在受信任的證書列表，我們打開證書會顯示「Windows 沒有足夠信息，不能驗證該證書」，當然我們可以把根證書加到受信任的根證書列表，這樣證書就可以顯示正常。
一般帶證書鏈的數字證書中會包含證書頒發機構頒發者，逐級驗證到最頂級根證書，每一級都用上級頒發根證書驗證證書簽名，直到證書頒發者和使用者一樣自己可以驗證自己通過。根證書的基本約束會不一樣，Subject Type=CA代表可以簽發證書，而一般的用戶證書為Subject Type=End Entity，為終端實體不能再簽發證書。
三、CRL驗證
CRL是經CA簽名的證書作廢列表，用於做證書凍結和撤銷時對證書有效性狀態控制。一般數字證書中都有 CRL分發點地址，提供了HTTP和LDAP方式訪問。通過BouncyCastle庫解析X509證書的擴展項我們可以獲取到CRL地址，然後使用相應方式下載CRL進行驗證。
獲取數字證書CRL

在用LDAP方式下載CRL時，注意LDAP協議名稱要大寫，不然訪問會出錯。下載的CRL格式可能是BASE64編碼的，需要判斷轉換成DER編碼二進制格式。
CRL分全量CRL和增量CRL，另外還有分段CRL，即同個CA的證書分不同的CRL地址段，主要是為了分流伺服器負載。CRL有生效日期和下次更新時間，一般是定時更新，所以CRL並不是即時狀態的。因此還有OCSP在線證書狀態協議，可以即時的查詢證書狀態。

⑺ SSL證書的驗證過程

SSL證書一系列的驗證過程如下：
檢查SSL證書是否被頒發機構吊銷

檢查SSL證書中的證書吊銷列表，如果已經被吊銷，則會顯示警告信息：「此組織的證書已被吊銷。安全證書問題可能顯示試圖欺騙您或截獲您向伺服器發送的數據。建議關閉此網頁，並且不要繼續瀏覽該網站。」

檢查此SSL證書時間是否過期

檢查網站SSL證書的有效期限，如果證書已經過了有效期，則會顯示警告信息：「此網站出具的安全證書已過期或還未生效。安全證書問題可能顯示試圖欺騙您或截獲您向伺服器發送的數據。建議關閉此網頁，並且不要繼續瀏覽該網站。」

檢查網站的域名是否與證書中域名一致

檢查部署此SSL證書的網站的域名是否與證書中的域名一致，如果不一致，則瀏覽器也會顯示警告信息：「此網站出具的安全證書是為其他網站地址頒發的。安全證書問題可能顯示試圖欺騙您或截獲您向伺服器發送的數據。建議關閉此網頁，並且不要繼續瀏覽該網站。」

查詢此網站是否被列入欺詐黑名單

如果發現此網站已經被列入欺詐網站黑名單，則會顯示：「IE已發現一個已報告的仿冒網站。仿冒網站假冒其他網站並試圖欺騙您泄漏個人信息或財務信息。建議關閉此網頁，並且不要繼續瀏覽該網站。」

瀏覽器需經過以上幾個方面的檢查後，才會在頁面顯示安全鎖標志，正常顯示部署了SSL證書的加密頁面。以上是關於ssl證書驗證過程的介紹。

⑻ openssl 驗證證書鏈是否有效

如果你想創建不是1年有效期的自簽名證書，或想提供有關自己的額外信息，你可以用一個工具Open SSL來創建證書，而不是SDK隨帶的標准工具：MakeKeys。

⑼ 怎麼驗證數字證書

網上交易者通過交易對象的數字證書對其產生信任，並能夠使用和證書綁定的公鑰和交易對象通信，這是PKI認證機制的基本宗旨。但是，當網上交易者從交易對象那裡直接獲取，或通過訪問CA證書庫等不同途徑得到了交易對象的數字證書以後，這張證書不經過驗證是不能放心使用的。驗證由安全認證應用軟體執行，驗證需要包括以下的內容： ·證書完整性驗證。即確認這個證書沒有被別人篡改過。這項驗證可以通過驗證證書中CA的數字簽名而完成。 ·證書可信性驗證。即確認該證書是由一個可信的CA頒發的。為此驗證者必須驗證證書鏈，即從對方的CA信任域的底層開始，逐層向上查詢，一直追溯到信任鏈的終點，通常是根CA為止，找到權威的根CA的簽名，這才完成驗證。(有關證書鏈的概念，可參閱《晨曦》07年第期知識園地「證書鏈是怎麼回事」一文。) ·證書有效性驗證。即確認該證書是否已經失效。 ·有關證書使用策略限制的驗證。即確認證書的當前使用有沒有超出證書中規定的策略限制。t=10955

⑽ 怎麼取得ca證書鏈啊

網上交易者通過交易對象的數字證書對其產生信任，並能夠使用和證書綁定的專公鑰和交易對象通信屬，這是PKI認證機制的基本宗旨。但是，當網上交易者從交易對象那裡直接獲取，或通過訪問CA證書庫等不同途徑得到了交易對象的數字證書以後，這張證書不經過驗證是不能放心使用的。驗證由安全認證應用軟體執行，驗證需要包括以下的內容： ·證書完整性驗證。即確認這個證書沒有被別人篡改過。這項驗證可以通過驗證證書中CA的數字簽名而完成。 ·證書可信性驗證。即確認該證書是由一個可信的CA頒發的。為此驗證者必須驗證證書鏈，即從對方的CA信任域的底層開始，逐層向上查詢，一直追溯到信任鏈的終點，通常是根CA為止，找到權威的根CA的簽名，這才完成驗證。(有關證書鏈的概念，可參閱《晨曦》07年第期知識園地「證書鏈是怎麼回事」一文。) ·證書有效性驗證。即確認該證書是否已經失效。 ·有關證書使用策略限制的驗證。即確認證書的當前使用有沒有超出證書中規定的策略限制。t=10955