如何检查部署到网站的证书链中包含哪些证书

如何解决如何检查部署到网站的证书链中包含哪些证书

许多站点提供工具来帮助检查部署到站点的证书是否有效；包括检查是否安装了完整的链，而不仅仅是客户端证书。下面的一些例子：

• https://whatsmychaincert.com
• https://www.sslchecker.com/sslchecker
• https://www.geocerts.com/ssl-checker
• https://www.sslshopper.com/ssl-checker.html

我想通过 PowerShell 脚本模拟此检查（注意：目的是检查第三方站点；因此我们无法访问服务器端的任何内容），因此想出了以下内容：

Function Get-CertificateChain {
    [OutputType([System.Security.Cryptography.X509Certificates.X509ChainElement])]
    [CmdletBinding()]
    Param (
        [Parameter(Mandatory)]
        [string]$ComputerName,[Parameter()]
        [Int32]$Port = 443,[Parameter()]
        [System.Security.Authentication.SslProtocols]$SslProtocol = [System.Security.Authentication.SslProtocols]::Tls12 # NB: The enum value Default is considered deprecated,[Parameter()]
        [Switch]$CertificateInfoOnly
    )
    [System.Net.sockets.socket]$socket = [System.Net.sockets.socket]::new([System.Net.sockets.socketType]::Stream,[System.Net.sockets.ProtocolType]::Tcp)
    $socket.Connect($ComputerName,$Port)
    try {
        [System.Net.sockets.NetworkStream]$networkStream = [System.Net.sockets.NetworkStream]::new($socket,$true)
        [System.Net.Security.SslStream]$sslStream = [System.Net.Security.SslStream]::new($networkStream,$true)
        $sslStream.AuthenticateAsClient( $ComputerName,$null,$SslProtocol,$false )
        [System.Security.Cryptography.X509Certificates.X509Certificate2]$remoteCertificate = [System.Security.Cryptography.X509Certificates.X509Certificate2]($sslStream.RemoteCertificate)
        [System.Security.Cryptography.X509Certificates.X509Chain]$chain = [System.Security.Cryptography.X509Certificates.X509Chain]::new()
        $chain.Build($remoteCertificate) | Out-Null
        Write-Verbose "Chain status length is: $($chain.ChainStatus.Length)" # Gives 0 every time :/
        foreach ($chainElement in $chain.ChainElements) {
            #[System.Security.Cryptography.X509Certificates.X509ChainElement]
            if ($CertificateInfoOnly.IsPresent) {
                $chainElement | Select-Object -ExpandProperty Certificate
            } else {
                $chainElement
            }
            
        }
    } finally {
        $socket.Close()
    }
}

然而，即使在缺少完整链的站点上，这也会检索完整链；我猜是因为 BUILD 太有用了，可以获取它可以找到的任何丢失的中间证书或根证书。

我在一个类似的答案中找到了关于 ChainStatus 的信息，这似乎是一个更好的解决方案；但是，当我在调用 Build 之后调用 $chain.ChainStatus.Length 时（参见 Write-Verbose 调用），我得到的结果为 0 。

查看第三方返回的证书链是否有效（即包括在不自动解决丢失或无序证书链的客户端上）或获取有关哪些证书的信息的正确方法是什么？实际返回，使用 .net 框架？

解决方法

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 dio@foxmail.com 举报，一经查实，本站将立刻删除。