MqttClientTlsOptions.CertificateValidationHandler?是 MQTTnet 庫中用于自定義 TLS 證書驗證邏輯的關鍵回調函數。在 MQTT 客戶端與服務器建立 TLS 連接時，該回調允許你覆蓋默認的證書驗證流程，實現自定義的安全策略。

核心作用

當 MQTT 客戶端通過 TLS 連接到服務器時，系統會默認驗證服務器證書的有效性（如證書鏈、有效期、域名匹配等）。CertificateValidationHandler?允許你：

• 自定義驗證規則：例如，接受自簽名證書、特定 CA 頒發的證書。
• 實現額外安全檢查：如驗證證書指紋、檢查證書擴展字段。
• 禁用部分驗證（不推薦，但在測試環境中有用）。

回調函數簽名

public delegate bool X509CertificateValidator(X509Certificate certificate,X509Chain chain,SslPolicyErrors sslPolicyErrors,IMqttClientOptions options);

參數說明

1. certificate
   服務器提供的證書（X509Certificate?類型，可轉換為?X509Certificate2）。

2. chain
   證書鏈對象，包含從服務器證書到根 CA 的完整路徑，可用于檢查證書鏈狀態。

3. sslPolicyErrors
   系統默認驗證產生的錯誤（枚舉類型）：

   • None：無錯誤，證書有效。
   • RemoteCertificateChainErrors：證書鏈驗證失敗（如證書未由受信任的 CA 簽名）。
   • RemoteCertificateNameMismatch：證書域名與連接的服務器域名不匹配。
   • RemoteCertificateNotAvailable：服務器未提供證書。

4. options
   當前 MQTT 客戶端的連接選項，可用于獲取額外上下文（如服務器地址）。

返回值

• true：接受證書，允許建立連接。
• false：拒絕證書，終止連接。

常見應用場景

1.?接受自簽名證書

var tlsOptions = new MqttClientTlsOptions
{UseTls = true,CertificateValidationHandler = (cert, chain, errors, opts) =>{// 僅在測試環境接受所有證書#if DEBUGreturn true;#else// 生產環境使用默認驗證return errors == SslPolicyErrors.None;#endif}
};

2.?驗證證書指紋（Thumbprint）

var expectedThumbprint = "1234567890ABCDEF..."; // 預期的證書 SHA-1 指紋tlsOptions.CertificateValidationHandler = (cert, chain, errors, opts) =>
{// 先檢查系統驗證結果if (errors == SslPolicyErrors.None)return true;// 若域名不匹配，直接拒絕if ((errors & SslPolicyErrors.RemoteCertificateNameMismatch) != 0)return false;// 轉換為 X509Certificate2 以獲取指紋using var cert2 = new X509Certificate2(cert);return cert2.Thumbprint.Equals(expectedThumbprint, StringComparison.OrdinalIgnoreCase);
};

3.?驗證特定 CA 頒發的證書

// 加載自定義 CA 證書
var customCaCert = new X509Certificate2(File.ReadAllBytes("custom_ca.crt"));tlsOptions.CertificateValidationHandler = (cert, chain, errors, opts) =>
{// 清空默認 CA，只信任自定義 CAchain.ChainPolicy.ExtraStore.Add(customCaCert);chain.ChainPolicy.TrustMode = X509ChainTrustMode.CustomRootTrust;// 重新驗證return chain.Build(new X509Certificate2(cert));
};

CertificateValidationHandler = (certContext) =>
{var chain = certContext.Chain;chain.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;chain.ChainPolicy.RevocationFlag = X509RevocationFlag.ExcludeRoot;chain.ChainPolicy.VerificationFlags = X509VerificationFlags.NoFlag;chain.ChainPolicy.VerificationTime = DateTime.UtcNow;chain.ChainPolicy.UrlRetrievalTimeout = new TimeSpan(0, 0, 0);chain.ChainPolicy.CustomTrustStore.Add(ca);chain.ChainPolicy.TrustMode = X509ChainTrustMode.CustomRootTrust;var x5092 = new X509Certificate2(certContext.Certificate);return chain.Build(x5092);
}, 

• RevocationMode.NoCheck：不檢查證書吊銷列表（CRL）或在線證書狀態協議（OCSP）。這會跳過證書是否已被 CA 吊銷的驗證，可能帶來安全風險。
• RevocationFlag.ExcludeRoot：在檢查吊銷狀態時排除根證書（通常根證書不會被吊銷）。
• VerificationFlags.NoFlag：不添加任何特殊驗證標志，使用默認驗證規則。
• VerificationTime = DateTime.UtcNow：驗證證書在當前時間點是否有效（不過期）。
• UrlRetrievalTimeout = TimeSpan.Zero：禁用從網絡獲取 CRL 或 OCSP 響應的超時等待。
• CustomTrustStore.Add(ca)：將指定的 CA 證書（ca）添加到自定義信任存儲中。
• TrustMode.CustomRootTrust：僅信任自定義存儲中的根證書，忽略系統默認的信任根。這意味著只有你明確添加的 CA 證書才會被視為可信。
• 將服務器證書轉換為?X509Certificate2?格式，然后嘗試構建完整的證書鏈。
• chain.Build(x5092)：返回?true?表示證書鏈驗證成功，false?表示失敗。

4.?記錄驗證錯誤（不影響連接）

tlsOptions.CertificateValidationHandler = (cert, chain, errors, opts) =>
{if (errors != SslPolicyErrors.None){Logger.Warning($"證書驗證警告: {errors}");foreach (var status in chain.ChainStatus){Logger.Warning($"證書鏈狀態: {status.Status} - {status.StatusInformation}");}}// 仍使用系統默認驗證結果return errors == SslPolicyErrors.None;
};

注意事項

1. 安全風險

   • 過度寬松的驗證（如始終返回?true）會使連接易受中間人攻擊。
   • 僅在受信任的環境（如內部網絡、測試環境）中降低驗證標準。

2. 性能考慮

   • 復雜的驗證邏輯（如聯網查詢證書吊銷列表）可能影響連接性能。

3. 證書鏈處理

   • 系統默認會構建證書鏈，但在自定義驗證中可能需要手動操作（如添加中間 CA）。

4. 域名驗證

   • 若服務器證書域名與實際連接的域名不一致，需特別處理?RemoteCertificateNameMismatch?錯誤。

最佳實踐

• 優先使用系統驗證：僅在必要時覆蓋默認邏輯。
• 最小化信任范圍：如僅接受特定指紋的證書，而非所有自簽名證書。
• 記錄驗證過程：記錄警告和錯誤，便于排查問題。
• 區分環境：測試環境可放寬驗證，生產環境必須嚴格。

總結

CertificateValidationHandler?是 MQTTnet 中實現自定義 TLS 安全策略的強大工具，通過它可以靈活應對各種復雜的安全需求。但需謹慎使用，確保在增強靈活性的同時不犧牲安全性。