校验证书链

⑴ 根证书的具体组成

从技术复上讲，证书其实包含三部分，制用户的信息，用户的公钥，还有CA中心对该证书里面的信息的签名。验证一份证书的真伪（即验证CA中心对该证书信息的签名是否有效），需要用CA 中心的公钥验证，而CA中心的公钥存在于对这份证书进行签名的证书内，故需要下载该证书，但使用该证书验证又需先验证该证书本身的真伪，故又要用签发该证书的证书来验证，这样一来就构成一条证书链的关系，这条证书链在哪里终结呢？答案就是根证书，根证书是一份特殊的证书，它的签发者是它本身，下载根证书就表明您对该根证书以下所签发的证书都表示信任，而技术上则是建立起一个验证证书信息的链条，证书的验证追溯至根证书即为结束。所以说用户在使用自己的数字证书之前必须先下载根证书。

⑵ 如何：指定用于验证签名的证书颁发机构证书链 (WCF)

例如，如果 SOAP 消息接收方打算信任由 Microsoft 颁发的 X.509 证书，则必须将 Microsoft 的证书颁发机构证书链安装到对 WCF 进行设置以使其从中寻找 X.509 证书的证书存储区中。WCF 在其中寻找 X.509 证书的证书存储区可以在代码或配置中指定。例如，这可以在代码中使用 SetCertificate 方法指定，或者在配置中通过包括 的 元素在内的几个方式指定。因为Windows 附带有一组默认的用于受信任证书颁发机构的证书链，所以可能不必为所有证书颁发机构安装证书链。导出证书颁发机构证书链。具体导出方式取决于证书颁发机构。如果证书颁发机构正在运行 Microsoft 证书服务，请选择“下载 CA 证书、证书链或 CRL”，然后选择“下载 CA 证书”。导入证书颁发机构证书链。在Microsoft 管理控制台 (MMC) 中，打开证书管理单元。对于配置 WCF 以使其从中检索 X.509 证书的证书存储区，选择“受信任的根证书颁发机构”文件夹。在“受信任的根证书颁发机构”文件夹下，右击“证书”文件夹，指向“所有任务”，再单击“导入”。提供在步骤 a 中导出的文件。有关在 MMC 中使用证书管理单元的更多信息，请参见如何：使用 MMC 管理单元查看证书。

⑶ 浏览器如何验证HTTPS证书的合法性

用户抄证书被中间证书袭信任，而中间证书被根证书信任，根证书又被浏览器信任，这样一个完整的证书链使得浏览器可以在根证书库内一次检索用户证书、中间证书和根证书，如果能匹配到根证书，那么这一信任链上的所有证书都是合法的。

⑷ ssl证书的验证过程

SSL证书一系列的验证过程如下：

检查SSL证书是否被颁发机构吊销

检查SSL证书中的证书吊销列表，如果已经被吊销，则会显示警告信息：“此组织的证书已被吊销。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页，并且不要继续浏览该网站。”

检查此SSL证书时间是否过期

检查网站SSL证书的有效期限，如果证书已经过了有效期，则会显示警告信息：“此网站出具的安全证书已过期或还未生效。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页，并且不要继续浏览该网站。”

检查网站的域名是否与证书中域名一致

检查部署此SSL证书的网站的域名是否与证书中的域名一致，如果不一致，则浏览器也会显示警告信息：“此网站出具的安全证书是为其他网站地址颁发的。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页，并且不要继续浏览该网站。”

查询此网站是否被列入欺诈黑名单

如果发现此网站已经被列入欺诈网站黑名单，则会显示：“IE已发现一个已报告的仿冒网站。仿冒网站假冒其他网站并试图欺骗您泄漏个人信息或财务信息。建议关闭此网页，并且不要继续浏览该网站。”

浏览器需经过以上几个方面的检查后，才会在页面显示安全锁标志，正常显示部署了SSL证书的加密页面。以上是关于ssl证书验证过程的介绍。

⑸ 增值税发票开票软件（税务UKey版）提示：检验证书口令时异常未插USB KEY(0xA7)

税务机关未将您的信息植入ukey中，需要去主管税务局重新制证

⑹ 如何验证数字证书的有效性 信息安全

一、有效期
证书的有效期验证这个比较简单，就是使用时间在必须在证书起始和结束日期之间才有效，通过解析X.509对象很容易获取起止时间，判断证书有效期代码如下：
/// <summary>
/// 有效期验证
/// </summary>
/// <param name="cert"></param>
/// <returns></returns>
public static bool CheckDate(string cert)
{
byte[] bt = Convert.FromBase64String(cert);
System.Security.Cryptography.X509Certificates.X509Certificate2 x509
= new System.Security.Cryptography.X509Certificates.X509Certificate2(bt);

string date = x509.GetExpirationDateString();
DateTime dtex = Convert.ToDateTime(date);
DateTime dtnow = DateTime.Now;
DateTime dteff = Convert.ToDateTime(x509.GetEffectiveDateString());

if (dteff < dtnow && dtnow < dtex)
{
return true;
}

return false;
}
二、颁发根证书
每个数字证书都有颁发根证书的签名，验证证书就是用根证书公钥来验证证书颁发者签名。首先，必须要找到数字证书的颁发根证书，Windows本身集成一些权威的受信任的根证书颁发机构，如VeriSign等，如果不在受信任的证书列表，我们打开证书会显示“Windows 没有足够信息，不能验证该证书”，当然我们可以把根证书加到受信任的根证书列表，这样证书就可以显示正常。
一般带证书链的数字证书中会包含证书颁发机构颁发者，逐级验证到最顶级根证书，每一级都用上级颁发根证书验证证书签名，直到证书颁发者和使用者一样自己可以验证自己通过。根证书的基本约束会不一样，Subject Type=CA代表可以签发证书，而一般的用户证书为Subject Type=End Entity，为终端实体不能再签发证书。
三、CRL验证
CRL是经CA签名的证书作废列表，用于做证书冻结和撤销时对证书有效性状态控制。一般数字证书中都有 CRL分发点地址，提供了HTTP和LDAP方式访问。通过BouncyCastle库解析X509证书的扩展项我们可以获取到CRL地址，然后使用相应方式下载CRL进行验证。
获取数字证书CRL

在用LDAP方式下载CRL时，注意LDAP协议名称要大写，不然访问会出错。下载的CRL格式可能是BASE64编码的，需要判断转换成DER编码二进制格式。
CRL分全量CRL和增量CRL，另外还有分段CRL，即同个CA的证书分不同的CRL地址段，主要是为了分流服务器负载。CRL有生效日期和下次更新时间，一般是定时更新，所以CRL并不是即时状态的。因此还有OCSP在线证书状态协议，可以即时的查询证书状态。

⑺ SSL证书的验证过程

SSL证书一系列的验证过程如下：
检查SSL证书是否被颁发机构吊销

检查SSL证书中的证书吊销列表，如果已经被吊销，则会显示警告信息：“此组织的证书已被吊销。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页，并且不要继续浏览该网站。”

检查此SSL证书时间是否过期

检查网站SSL证书的有效期限，如果证书已经过了有效期，则会显示警告信息：“此网站出具的安全证书已过期或还未生效。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页，并且不要继续浏览该网站。”

检查网站的域名是否与证书中域名一致

检查部署此SSL证书的网站的域名是否与证书中的域名一致，如果不一致，则浏览器也会显示警告信息：“此网站出具的安全证书是为其他网站地址颁发的。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页，并且不要继续浏览该网站。”

查询此网站是否被列入欺诈黑名单

如果发现此网站已经被列入欺诈网站黑名单，则会显示：“IE已发现一个已报告的仿冒网站。仿冒网站假冒其他网站并试图欺骗您泄漏个人信息或财务信息。建议关闭此网页，并且不要继续浏览该网站。”

浏览器需经过以上几个方面的检查后，才会在页面显示安全锁标志，正常显示部署了SSL证书的加密页面。以上是关于ssl证书验证过程的介绍。

⑻ openssl 验证证书链是否有效

如果你想创建不是1年有效期的自签名证书，或想提供有关自己的额外信息，你可以用一个工具Open SSL来创建证书，而不是SDK随带的标准工具：MakeKeys。

⑼ 怎么验证数字证书

网上交易者通过交易对象的数字证书对其产生信任，并能够使用和证书绑定的公钥和交易对象通信，这是PKI认证机制的基本宗旨。但是，当网上交易者从交易对象那里直接获取，或通过访问CA证书库等不同途径得到了交易对象的数字证书以后，这张证书不经过验证是不能放心使用的。验证由安全认证应用软件执行，验证需要包括以下的内容： ·证书完整性验证。即确认这个证书没有被别人篡改过。这项验证可以通过验证证书中CA的数字签名而完成。 ·证书可信性验证。即确认该证书是由一个可信的CA颁发的。为此验证者必须验证证书链，即从对方的CA信任域的底层开始，逐层向上查询，一直追溯到信任链的终点，通常是根CA为止，找到权威的根CA的签名，这才完成验证。(有关证书链的概念，可参阅《晨曦》07年第期知识园地“证书链是怎么回事”一文。) ·证书有效性验证。即确认该证书是否已经失效。 ·有关证书使用策略限制的验证。即确认证书的当前使用有没有超出证书中规定的策略限制。t=10955

⑽ 怎么取得ca证书链啊

网上交易者通过交易对象的数字证书对其产生信任，并能够使用和证书绑定的专公钥和交易对象通信属，这是PKI认证机制的基本宗旨。但是，当网上交易者从交易对象那里直接获取，或通过访问CA证书库等不同途径得到了交易对象的数字证书以后，这张证书不经过验证是不能放心使用的。验证由安全认证应用软件执行，验证需要包括以下的内容： ·证书完整性验证。即确认这个证书没有被别人篡改过。这项验证可以通过验证证书中CA的数字签名而完成。 ·证书可信性验证。即确认该证书是由一个可信的CA颁发的。为此验证者必须验证证书链，即从对方的CA信任域的底层开始，逐层向上查询，一直追溯到信任链的终点，通常是根CA为止，找到权威的根CA的签名，这才完成验证。(有关证书链的概念，可参阅《晨曦》07年第期知识园地“证书链是怎么回事”一文。) ·证书有效性验证。即确认该证书是否已经失效。 ·有关证书使用策略限制的验证。即确认证书的当前使用有没有超出证书中规定的策略限制。t=10955