Extension Methods für die Prüfung von Zertifikatswiderruf.
namespace WvdS.System.Security.Cryptography.X509Certificates; public static class RevocationExtensions
| Methode | Beschreibung |
|---|---|
| IsRevoked | Prüft ob ein Zertifikat widerrufen ist |
| FetchCrlAsync | Lädt CRL von URL (aus Zertifikat-Extension) |
| CheckRevocationAsync | Kombiniert: CRL laden und Widerruf prüfen |
| GetCrlDistributionPoints | Extrahiert CRL-URLs aus Zertifikat |
| GetOcspUrls | Extrahiert OCSP-URLs aus Zertifikat |
Mit vorhandener CRL:
using System.Security.Cryptography.X509Certificates; using WvdS.System.Security.Cryptography.X509Certificates; var certificate = new X509Certificate2("user.cer"); byte[] crlData = File.ReadAllBytes("ca.crl"); var caCert = new X509Certificate2("ca.cer"); // Prüfen mit Signaturverifizierung RevocationResult result = certificate.IsRevoked(crlData, caCert, CryptoMode.Hybrid); if (result.Success) { if (result.IsRevoked) { Console.WriteLine($"Zertifikat widerrufen am: {result.RevocationDate}"); Console.WriteLine($"Grund: {result.Reason}"); } else { Console.WriteLine("Zertifikat ist gültig"); } } else { Console.WriteLine($"Fehler: {result.ErrorMessage}"); }
CRL automatisch laden:
// Lädt CRL von der URL aus der CDP-Extension des Zertifikats RevocationResult result = await certificate.CheckRevocationAsync( caCert, mode: CryptoMode.Hybrid);
// Nur CRL laden, ohne Prüfung byte[]? crlData = await certificate.FetchCrlAsync(); if (crlData != null) { File.WriteAllBytes("downloaded.crl", crlData); }
Mit eigenem HttpClient:
using var httpClient = new HttpClient(); httpClient.Timeout = TimeSpan.FromSeconds(10); byte[]? crlData = await certificate.FetchCrlAsync(httpClient);
IReadOnlyList<string> crlUrls = certificate.GetCrlDistributionPoints(); foreach (var url in crlUrls) { Console.WriteLine($"CRL URL: {url}"); } // Schnelle Prüfung bool hasCdp = certificate.HasCrlDistributionPoints();
IReadOnlyList<string> ocspUrls = certificate.GetOcspUrls(); foreach (var url in ocspUrls) { Console.WriteLine($"OCSP Responder: {url}"); } // Schnelle Prüfung bool hasOcsp = certificate.HasOcspUrls();
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
IsRevoked | bool | Zertifikat ist widerrufen |
RevocationDate | DateTimeOffset? | Zeitpunkt des Widerrufs |
Reason | CrlReason? | Widerrufsgrund |
CrlVerified | bool | CRL-Signatur wurde verifiziert |
ErrorMessage | string? | Fehlermeldung (falls Prüfung fehlschlug) |
Success | bool | Prüfung war erfolgreich |
Für häufige Prüfungen mit automatischem Caching:
using var cache = new CrlCache(defaultCacheDuration: TimeSpan.FromHours(1)); // Prüfung mit automatischem CRL-Caching RevocationResult result1 = await cache.CheckRevocationAsync(cert1, caCert); RevocationResult result2 = await cache.CheckRevocationAsync(cert2, caCert); // CRL aus Cache // Cache leeren cache.Clear();
Mit eigenem HttpClient:
using var httpClient = new HttpClient(); using var cache = new CrlCache(httpClient, TimeSpan.FromMinutes(30)); // Mehrere Zertifikate prüfen foreach (var cert in certificates) { var result = await cache.CheckRevocationAsync(cert, caCert, CryptoMode.Hybrid); // ... }
Für vollständige Kettenvalidierung mit CRL-Prüfung:
using var chain = new X509Chain(); chain.ChainPolicy.RevocationMode = X509RevocationMode.Online; chain.ChainPolicy.RevocationFlag = X509RevocationFlag.EntireChain; bool valid = chain.Build(certificate, CryptoMode.Hybrid); if (!valid) { foreach (var status in chain.ChainStatus) { if (status.Status == X509ChainStatusFlags.Revoked) { Console.WriteLine("Zertifikat in Kette widerrufen"); } } }
Für Air-gapped Systeme ohne Netzwerkzugang:
// CRLs vorab herunterladen und speichern var crlFiles = new Dictionary<string, byte[]> { ["CN=Root CA"] = File.ReadAllBytes("root.crl"), ["CN=Issuing CA"] = File.ReadAllBytes("issuing.crl") }; // Offline-Prüfung RevocationResult result = certificate.IsRevoked(crlFiles["CN=Issuing CA"], caCert);
CrlCache für wiederholte PrüfungenWolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional