最近在做数字证书有效性验证的接口，主要是从数字证书的有效期、颁发根证书和CRL进行验证，下面我就从这几个方面来说数字证书的有效性验证。

一、有效期

证书的有效期验证这个比较简单，就是使用时间在必须在证书起始和结束日期之间才有效，通过解析X.509对象很容易获取起止时间，判断证书有效期代码如下：

        /// <summary>
        /// 有效期验证
        /// </summary>
        /// <param name="cert"></param>
        /// <returns></returns>
        public static bool CheckDate(string cert)
        {
            byte[] bt = Convert.FromBase64String(cert);
            System.Security.Cryptography.X509Certificates.X509Certificate2 x509 
                = new System.Security.Cryptography.X509Certificates.X509Certificate2(bt);

            
            string date = x509.GetExpirationDateString();
            DateTime dtex = Convert.ToDateTime(date);
            DateTime dtnow = DateTime.Now;
            DateTime dteff = Convert.ToDateTime(x509.GetEffectiveDateString());

            if (dteff < dtnow && dtnow < dtex)
            {
                return true;
            }

            return false;
        }

二、颁发根证书

每个数字证书都有颁发根证书的签名，验证证书就是用根证书公钥来验证证书颁发者签名。首先，必须要找到数字证书的颁发根证书，Windows本身集成一些权威的受信任的根证书颁发机构，如VeriSign等，如果不在受信任的证书列表，我们打开证书会显示“Windows 没有足够信息，不能验证该证书”，当然我们可以把根证书加到受信任的根证书列表，这样证书就可以显示正常。

一般带证书链的数字证书中会包含证书颁发机构颁发者，逐级验证到最顶级根证书，每一级都用上级颁发根证书验证证书签名，直到证书颁发者和使用者一样自己可以验证自己通过。根证书的基本约束会不一样，Subject Type=CA代表可以签发证书，而一般的用户证书为Subject Type=End Entity，为终端实体不能再签发证书。

三、CRL验证

CRL是经CA签名的证书作废列表，用于做证书冻结和撤销时对证书有效性状态控制。一般数字证书中都有 CRL分发点地址，提供了HTTP和LDAP方式访问。通过BouncyCastle库解析X509证书的扩展项我们可以获取到CRL地址，然后使用相应方式下载CRL进行验证。

获取数字证书CRL
  1/**//// <summary>
  2        /// 获取X.509证书中的CRL地址
  3        /// </summary>
  4        /// <param name="cert"></param>
  5        /// <returns>
  6        /// CRL路径（先返回http格式路径，然后再是ldap）
  7        /// </returns> 
  8        public static string GetCrlPath(string cert)
  9        ...{
 10            string crl = string.Empty;
 11
 12            Org.BouncyCastle.X509.X509Certificate certificate = new Org.BouncyCastle.X509.X509CertificateParser().ReadCertificate(Convert.FromBase64String(cert));
 13
 14            Org.BouncyCastle.Asn1.Asn1OctetString crlValues = certificate.GetExtensionValue(Org.BouncyCastle.Asn1.X509.X509Extensions.CrlDistributionPoints);
 15
 16            if (crlValues == null) return crl;
 17
 18            string ldapCRL = string.Empty;
 19            byte[] crlData = crlValues.GetOctets();
 20
 21            Org.BouncyCastle.Asn1.Asn1InputStream ais = new Org.BouncyCastle.Asn1.Asn1InputStream(crlValues.GetOctets());
 22            Org.BouncyCastle.Asn1.Asn1Sequence seq = (Org.BouncyCastle.Asn1.Asn1Sequence)ais.ReadObject();
 23
 24            int dpCount = seq.Count;
 25            for (int i = 0; i < dpCount; i++)
 26            ...{
 27                Org.BouncyCastle.Asn1.Asn1Sequence point1 = (Org.BouncyCastle.Asn1.Asn1Sequence)seq.GetObjectAt(i);
 28                Org.BouncyCastle.Asn1.Asn1Encodable tobj = point1.GetObjectAt(0);
 29                while (tobj.GetType().IsSubclassOf(typeof(Org.BouncyCastle.Asn1.Asn1TaggedObject)) && !((Org.BouncyCastle.Asn1.DerTaggedObject)tobj).IsEmpty())
 30                ...{
 31                    if (tobj.GetType().IsSubclassOf(typeof(Org.BouncyCastle.Asn1.Asn1TaggedObject)))
 32                        tobj = ((Org.BouncyCastle.Asn1.Asn1TaggedObject)tobj).GetObject();
 33                }
 34
 35                if (tobj is Org.BouncyCastle.Asn1.DerSequence)
 36                ...{
 37                    // 跳过非URL的CRL地址
 38                    continue;
 39                }
 40
 41                // 取最后一个CRL地址
 42                string tmpCrl = Encoding.ASCII.GetString(((Org.BouncyCastle.Asn1.DerOctetString)tobj).GetOctets());
 43
 44                if (tmpCrl.StartsWith("http", StringComparison.CurrentCultureIgnoreCase))
 45                    crl = tmpCrl;
 46                else if (tmpCrl.StartsWith("ldap", StringComparison.CurrentCultureIgnoreCase))
 47                    ldapCRL = tmpCrl;
 48
 49            }
 50
 51            return string.IsNullOrEmpty(crl) ? ldapCRL : crl;
 52        }
 53
 54        /**//// <summary>
 55        /// 即时获取CRL数据
 56        /// </summary>
 57        /// <param name="crl"></param>
 58        /// <returns></returns>
 59        public static byte[] GetCRLData(string crl)
 60        ...{
 61            byte[] crlData = null;
 62
 63            if (crl.StartsWith("http", StringComparison.CurrentCultureIgnoreCase))
 64            ...{
 65                try
 66                ...{
 67                    System.Net.WebClient webClient = new System.Net.WebClient();
 68                    crlData = webClient.DownloadData(crl);
 69                    
 70                }
 71                catch (Exception ex)
 72                ...{
 73                    throw ex;
 74                }
 75            }
 76            else if (crl.StartsWith("ldap", StringComparison.CurrentCultureIgnoreCase))
 77            ...{
 78
 79                try
 80                ...{
 81                    string ldapPath = crl.Replace("ldap://", "").Replace("LDAP://", "");
 82                    string[] ldapItems = ldapPath.Split('/');
 83
 84                    string ldapHost = "LDAP://" + ldapItems[0].Replace(":389","");
 85                    string ldapFilter = ldapItems[1].Split('?')[0];
 86
 87                    DirectoryEntry de = new DirectoryEntry();
 88                    de.Path = ldapHost + "/" + ldapFilter;
 89                    de.AuthenticationType = AuthenticationTypes.Signing;
 90                    de.Username = "";
 91                    de.Password = "";
 92
 93                    DirectorySearcher a = new DirectorySearcher(de);
 94
 95                    crlData = (byte[])a.FindOne().Properties["certificateRevocationList;binary"][0];
 96                }
 97                catch (Exception ex)
 98                ...{
 99                    throw ex;
100                }
101            }
102
103            if (crlData!= null && crlData.Length>0 && crlData[0] != 0x30)
104            ...{
105                // 非Der编码格式转换
106                crlData = Convert.FromBase64String(Encoding.ASCII.GetString(crlData));
107            }
108
109            return crlData;
110
111        }

在用LDAP方式下载CRL时，注意LDAP协议名称要大写，不然访问会出错。下载的CRL格式可能是BASE64编码的，需要判断转换成DER编码二进制格式。

CRL分全量CRL和增量CRL，另外还有分段CRL，即同个CA的证书分不同的CRL地址段，主要是为了分流服务器负载。CRL有生效日期和下次更新时间，一般是定时更新，所以CRL并不是即时状态的。因此还有OCSP在线证书状态协议，可以即时的查询证书状态。

最后，总结证书有效性验证流程设计，如下图。