Um certificado digital não apenas contém informações sobre seu proprietário mas também contém informações sobre a entidade que pode confirmá-lo. Esta entidade é chamada de autoridade certificadora (ou certificate authority ou CA para os íntimos).

Uma CA possui dois propósitos básicos:

•Gerar os certificados digitais (você não "cria" um certificado digital válido- você envia uma requisição para uma CA fazê-lo);
•Manter uma lista atualizada de certificados gerados por ela que não são mais válidos (a famosa CRL ou certificate revocation list);

 

Um certificado digital é um arquivo(.cer). Ele é especialmente formatado e obedece a um padrão chamado X.509. Atualmente este padrão está na versão 3 e dita que um certificado contenha as seguintes informações:

 

•Version / Versão: a versão do formato do certificado;
•Serial number / Número serial: uma sequência alfanumérica que identifica de forma única o certificado (pelo menos para a CA que o gerou);
•Algorithm ID / ID do algoritmo: as informações de um certificado não são mantidas em texto simples (o arquivo é criptografado). Este campo indica qual algoritmo criptográfico foi utilizado. Exemplos são: MD5 (em desuso) e SHA-1;
•Issuer / Emissor: identifica quem é a CA;
•Validity (Not Before / Not After) / Validade (Não antes de / Não depois de): esta é uma informação crucial num certificado. Todo certificado é válido somente por um intervalo de tempo. Desta forma, um certificado não é valido antes da data inicial e nem tampouco é válido após a data final. Somente durante o período indicado ele é válido, mesmo que ele não tenha sido revogado;
•Subject / Sujeito ou Indivíduo: é para quem o certificado foi gerado. É o "proprietário" do certificado;
•Public key info / Informações da chave pública: Chave pública do certificado ;
•Signature algorithm / Algoritmo da assinatura: cada certificado possui uma assinatura digital criptografada. Este campo indica qual algoritmo criptográfico foi utilizado;
•Signature / Assinatura: é a assinatura digital criptografada do certificado. É gerada a partir das informações do próprio certificado e é o que impede que as informações do certificado sejam modificadas;

 

No framework 2.0 temos o método Verify() que verifica se o certificado é válido verificando a CA que emitiu este certificado com os certificados de CAs instalados no windows store.

 

 

No mundo .NET temos uma ferramenta que nos permite criar certificados(arquivos .cer) para que possamos testar nossas aplicações.
 
Caminho do MakeCert.exe no meu Windows Vista = C:\Program Files\Microsoft SDKs\Windows\v6.0A\Bin
Exemplo de comando que cria um certificado com o nome CertificadoTeste.cer

makecert -sk XYZ -n "CN=Certificado Teste Inválido" CertificadoTeste.cer
Observe que este certificado criado neste momento é garantido por "Root Agency" e como esta não é uma CA válida ele não será um certificado válido. Para instalar um certificado digital no widnows store através de um arquivo .cer basta clickar com o botão direito do mouse no arquivo e selecionar "install certificate" ou dar 2 clicks com o botão esquerdo do mouse no arquivo e clickar na opção de instalar o certificado. Vale a pena lembrar que você é responsável pelos certificados instalados no windows e suas consequências.

 

 

        /// <summary>
        /// Método que recupera os certificados do usuário corrente no windows retornando uma string com algumas características dos certificados recuperados.
        /// </summary>
        /// <returns>String com algumas características dos certificados recuperados</returns>
        public string ObterInformacoesCertificadosX509()
        {
            StringBuilder retorno = new StringBuilder();
            X509Store armazenadorCertificados = new X509Store(StoreName.My,StoreLocation.CurrentUser);
            armazenadorCertificados.Open(OpenFlags.ReadOnly);
            X509Certificate2Collection certificados = armazenadorCertificados.Certificates;            
            foreach (var cert in certificados)
            {
                //Método que verifica se o certificado é válido. Para que o certificado seja válido a cadeia da CA deve ser válida e estar instalada no windows(X509Store).
                if (cert.Verify())
                {
                    retorno.Append("Nome Amigável= " + cert.FriendlyName + "; AC= " + cert.Issuer + " ;Nome=" + cert.Subject + " -> " + "VÁLIDO!!! ");
                }
                else
                {
                    retorno.Append("Nome Amigável= "+cert.FriendlyName + "; AC= " + cert.Issuer + " ;Nome="+cert.Subject+ " -> " + "INVÁLIDO!!!   ");
                }
                retorno.AppendLine(); 
                retorno.AppendLine(" -----------------------------------------------------------------------------------------------------------");
                retorno.AppendLine(); 
            }
            armazenadorCertificados.Close(); 
            return retorno.ToString();        
        }

 

Obrigado e espero ter ajudado!!!

 

Link de ajuda

CAs
 www.certisign.com.br (empresa privada que é uma autoridade certificadora)
 www.serpro.gov.br (autoridade certificadora pública no Brasil)

Ferramenta de construção de certificados para teste -> http://msdn.microsoft.com/en-us/library/bfsktky3(VS.80).aspx
Documentação do namespace no FrameWork 2.0 -> http://msdn.microsoft.com/en-us/library/system.security.cryptography.x509certificates(VS.80).aspx