.netcore socket如何验证证书

在使用 .NET Core Socket 进行 SSL/TLS 通信时，可以使用 X509Certificate2 类来验证证书。具体步骤如下：

1. 实例化 X509Certificate2 对象，将证书加载进来。

var cert = new X509Certificate2("path/to/certificate.pfx", "password");

2. 创建 SslStream 对象，并在构造函数中指定套接字和是否进行身份验证。

var sslStream = new SslStream(socket, false, ValidateCertificate);

第二个参数指定是否在 SSL/TLS 握手期间进行身份验证。如果指定为 true，则会在握手期间验证服务器证书和客户端证书（如果有）的有效性。如果指定为 false，则可以在握手之后显式地调用 ValidateCertificate 方法来验证证书。

3. 在 ValidateCertificate 方法中，可以使用 X509Chain 类来验证证书链的有效性。

private bool ValidateCertificate(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
    if (sslPolicyErrors == SslPolicyErrors.None)
    {
        // 证书链有效
        return true;
    }

    // 验证证书链的有效性
    var chainPolicy = new X509ChainPolicy();
    chainPolicy.RevocationMode = X509RevocationMode.NoCheck;
    chainPolicy.VerificationFlags = X509VerificationFlags.IgnoreUnknownAuthority | X509VerificationFlags.IgnoreEndRevocationUnknown;

    if (!chain.Build(new X509Certificate2(certificate)))
    {
        // 证书链无效
        return false;
    }

    // 验证证书链中的每个证书是否被信任
    foreach (var chainElement in chain.ChainElements)
    {
        if (!chainElement.Certificate.Verify())
        {
            // 证书无效
            return false;
        }
    }

    // 证书链有效
    return true;
}

在上面的代码中，我们首先检查 sslPolicyErrors 参数，如果为 SslPolicyErrors.None，则表示证书链是有效的，可以直接返回 true。

如果 sslPolicyErrors 不为 SslPolicyErrors.None，则需要使用 X509Chain 类来验证证书链的有效性。我们创建了一个 X509ChainPolicy 对象，并指定了 RevocationMode 和 VerificationFlags 属性。然后，我们调用 chain.Build 方法来构建证书链，并检查结果是否为 true。如果结果为 false，则证书链是无效的，返回 false。

如果证书链是有效的，则需要验证证书链中的每个证书是否被信任。我们使用 foreach 循环遍历证书链中的每个证书，并调用 Verify 方法来验证证书是否被信任。如果有任何一个证书无效，则返回 false。如果所有证书都被信任，则返回 true，表示证书链是有效的。