如何在 .NET SslStream 中为客户端身份验证指定接受的证书

Question

我正在尝试使用 .Net System.Security.SslStream 类来处理具有客户端身份验证的 SSL/TLS 流的服务器端。

为了执行握手，我使用以下代码：

SslStream sslStream = new SslStream(innerStream, false, RemoteCertificateValidation, LocalCertificateSelectionCallback);
sslStream.AuthenticateAsServer(serverCertificate, true, SslProtocols.Default, false);

不幸的是，这会导致 SslStream 传输包含我的 CryptoAPI 受信任根存储中所有证书的主题名的 CertificateRequest。

我希望能够覆盖这个。对于我来说，要求用户从受信任的根存储中安装或删除证书不是一个选项。

看起来 SslStream 在底层使用了 SSPI/SecureChannel，所以如果有人知道如何使用该 API 执行相同的操作，那也会很有帮助。

有任何想法吗？

Answer 1

目前看来使用 .NET 库不可能做到这一点。

我通过使用 System.Security.SslStream 的 Mono 类库实现解决了这个问题，它可以更好地访问在握手期间覆盖服务器的行为。

Answer 2

证书验证所做的是验证链中的所有证书。为了真正做到这一点，它只需联系每个证书的根存储。

如果这不是您想要发生的事情，您可以在本地部署您自己的根存储。

Answer 3

这不是我想改变的验证部分。问题是在初始握手中，服务器发送消息通知客户端需要进行客户端身份验证（即CertificateRequest 消息）。作为此消息的一部分，服务器发送它将接受作为客户端证书颁发者的 CA 的名称。默认情况下，该列表包含存储中的所有受信任根。

但是，如果可以覆盖单个应用程序的证书根存储，则可能会解决问题。你是这个意思吗？如果是这样，我该怎么做？