我想在我的 C# 應(yīng)用程序中實(shí)現(xiàn)證書/公鑰固定。我已經(jīng)看到了很多直接固定服務(wù)器證書的解決方案，例如在這個(gè)問題中。但是，為了更靈活，我只想固定根證書。服務(wù)器在設(shè)置中獲得的證書由中間 CA 簽名，該 CA 本身由根簽名。到目前為止，我實(shí)現(xiàn)的是一個(gè)服務(wù)器，它從 PKCS#12 (.pfx) 文件中加載自己的證書、私鑰、中間證書和根證書。我使用以下命令創(chuàng)建了文件：openssl pkcs12 -export -inkey privkey.pem -in server_cert.pem -certfile chain.pem -out outfile.pfxchain.pem文件包含根證書和中間證書。服務(wù)器加載此證書并希望對(duì)客戶端進(jìn)行身份驗(yàn)證：// certPath is the path to the .pfx file created beforevar cert = new X509Certificate2(certPath, certPass)var clientSocket = Socket.Accept();var sslStream = new SslStream(    new NetworkStream(clientSocket),    false);try {    sslStream.AuthenticateAsServer(cert, false, SslProtocols.Tls12, false);} catch(Exception) {     // Error during authentication}現(xiàn)在，客戶端想要對(duì)服務(wù)器進(jìn)行身份驗(yàn)證：public void Connect() {    var con = new Socket(AddressFamily.InterNetwork, SocketType.Stream, ProtocolType.Tcp);    con.Connect(new IPEndPoint(this.address, this.port));    var sslStream = new SslStream(        new NetworkStream(con),        false,        new RemoteCertificateValidationCallback(ValidateServerCertificate),        null    );    sslStream.AuthenticateAsClient("serverCN");}public static bool ValidateServerCertificate(    object sender,    X509Certificate certificate,    X509Chain chain,    SslPolicyErrors sslPolicyErrors){    // ??}現(xiàn)在的問題是服務(wù)器只將自己的證書發(fā)送給客戶端。鏈參數(shù)也不包含更多信息。這在某種程度上是合理的，因?yàn)閄509Certificate2 證書（在服務(wù)器代碼中）僅包含服務(wù)器證書，沒有關(guān)于中間證書或根證書的信息。但是，客戶端無法驗(yàn)證整個(gè)鏈，因?yàn)椋ㄖ辽伲┤鄙僦虚g證書。到目前為止，我還沒有發(fā)現(xiàn)任何讓 .NET 發(fā)送整個(gè)證書鏈的可能性，但我不想固定服務(wù)器證書本身或中間證書，因?yàn)檫@破壞了根證書固定的靈活性。因此，有沒有人知道讓 SslStream 發(fā)送整個(gè)鏈進(jìn)行身份驗(yàn)證或使用其他方法實(shí)現(xiàn)功能的可能性？還是我必須以不同的方式包裝證書？謝謝！編輯：我做了一些其他測試來檢測問題。正如評(píng)論中所建議的，我創(chuàng)建了一個(gè)X509Store包含所有證書的證書。之后，我X509Chain使用我的服務(wù)器證書和商店構(gòu)建了一個(gè)。在服務(wù)器本身上，新鏈正確包含所有證書，但不在ValidateServerCertificate函數(shù)中。