Sprawdzanie poprawności certyfikatu X509 w usłudze WWW
Rozwijam usługę WWW WCF, która sprawdza, czy certyfikat w podpisie XML jest ważny. XML jest podpisany kwalifikowanym i ważnym certyfikatem X509. Podczas gdy usługa jest uruchomiona w środowisku programistycznym Visual Studio, metody X509Certificate2.Verify () i X509Chain.Build () zwracają TRUE. Ale kiedy publikuję moją usługę w IIS, metody te zwracają FALSE. Co robię źle lub czego brakuje? Oto mój kod weryfikacyjny:
public static void VerifyXml(XmlDocument xDoc)
{
// Create a new SignedXml object and pass it
// the XML document class.
SignedXml signedXml = new SignedXml(xDoc);
// Find the "Signature" node and create a new
// XmlNodeList object.
XmlNodeList nodeList = xDoc.GetElementsByTagName("Signature");
// Load the first <signature> node.
signedXml.LoadXml((XmlElement)nodeList[0]);
IEnumerable<KeyInfoX509Data> x509Data = signedXml.KeyInfo.Cast<KeyInfoX509Data>();
KeyInfoX509Data info = x509Data.First<KeyInfoX509Data>();
X509Certificate2 cert = info.Certificates[0] as X509Certificate2;
bool certIsValid = cert.Verify();
// Here I receive TRUE in development environment and FALSE under IIS
if (!certIsValid)
throw new X509Exception("Invalid certificate");
bool chainIsValid = false;
X509Chain chain = new X509Chain();
chain.ChainPolicy.RevocationFlag = X509RevocationFlag.EntireChain;
chain.ChainPolicy.RevocationMode = X509RevocationMode.Online;
chain.ChainPolicy.UrlRetrievalTimeout = new TimeSpan(0, 1, 0);
chain.ChainPolicy.VerificationFlags = X509VerificationFlags.NoFlag;
chainIsValid = chain.Build(cert);
// Here I also receive TRUE in development environment and FALSE under IIS
if (!chainIsValid)
throw new X509Exception("Chain is invalid");
// Check the signature
bool signatureOK = signedXml.CheckSignature(cert, false);
if (!signatureOK)
throw new X509Exception("Signature is invalid");
}
Jakieś pomysły? Dzięki