我想在我的 C# 應用程序中實現證書/公鑰固定。我已經看到了很多直接固定服務器證書的解決方案，例如在這個問題中。但是，為了更靈活，我只想固定根證書。服務器在設置中獲得的證書由中間 CA 簽名，該 CA 本身由根簽名。到目前為止，我實現的是一個服務器，它從 PKCS#12 (.pfx) 文件中加載自己的證書、私鑰、中間證書和根證書。我使用以下命令創建了文件：openssl pkcs12 -export -inkey privkey.pem -in server_cert.pem -certfile chain.pem -out outfile.pfxchain.pem文件包含根證書和中間證書。服務器加載此證書并希望對客戶端進行身份驗證：// certPath is the path to the .pfx file created beforevar cert = new X509Certificate2(certPath, certPass)var clientSocket = Socket.Accept();var sslStream = new SslStream(    new NetworkStream(clientSocket),    false);try {    sslStream.AuthenticateAsServer(cert, false, SslProtocols.Tls12, false);} catch(Exception) {     // Error during authentication}現在，客戶端想要對服務器進行身份驗證：public void Connect() {    var con = new Socket(AddressFamily.InterNetwork, SocketType.Stream, ProtocolType.Tcp);    con.Connect(new IPEndPoint(this.address, this.port));    var sslStream = new SslStream(        new NetworkStream(con),        false,        new RemoteCertificateValidationCallback(ValidateServerCertificate),        null    );    sslStream.AuthenticateAsClient("serverCN");}public static bool ValidateServerCertificate(    object sender,    X509Certificate certificate,    X509Chain chain,    SslPolicyErrors sslPolicyErrors){    // ??}現在的問題是服務器只將自己的證書發送給客戶端。鏈參數也不包含更多信息。這在某種程度上是合理的，因為X509Certificate2 證書（在服務器代碼中）僅包含服務器證書，沒有關于中間證書或根證書的信息。但是，客戶端無法驗證整個鏈，因為（至少）缺少中間證書。到目前為止，我還沒有發現任何讓 .NET 發送整個證書鏈的可能性，但我不想固定服務器證書本身或中間證書，因為這破壞了根證書固定的靈活性。因此，有沒有人知道讓 SslStream 發送整個鏈進行身份驗證或使用其他方法實現功能的可能性？還是我必須以不同的方式包裝證書？謝謝！編輯：我做了一些其他測試來檢測問題。正如評論中所建議的，我創建了一個X509Store包含所有證書的證書。之后，我X509Chain使用我的服務器證書和商店構建了一個。在服務器本身上，新鏈正確包含所有證書，但不在ValidateServerCertificate函數中。