X509Store 中的 store.Open 和 store.Certificates.Find 方法对性能的影响
Performance impact due to store.Open and store.Certificates.Find methods in X509Store
private static X509Certificate2 FindCertificate(string certificateSubject)
{
const StoreName StoreName = StoreName.My;
const StoreLocation StoreLocation = StoreLocation.LocalMachine;
var store = new X509Store(StoreName, StoreLocation);
try
{
store.Open(OpenFlags.ReadOnly);
// Find with the FindBySubjectName does fetch all the certs partially matching the subject name.
// Hence, further filter for the certs that match the exact subject name.
List<X509Certificate2> clientCertificates =
store.Certificates.Find(X509FindType.FindBySubjectName, certificateSubject, validOnly: true)
.Cast<X509Certificate2>()
.Where(c => string.Equals(
c.Subject.Split(',').First().Trim(),
string.Concat("CN=", certificateSubject).Trim(),
StringComparison.OrdinalIgnoreCase)).ToList();
if (!clientCertificates.Any())
{
throw new InvalidDataException(
string.Format(CultureInfo.InvariantCulture, "Certificate {0} not found in the store {1}.", certificateSubject, StoreLocation.LocalMachine));
}
X509Certificate2 result = null;
foreach (X509Certificate2 cert in clientCertificates)
{
DateTime now = DateTime.Now;
DateTime effectiveDate = DateTime.Parse(cert.GetEffectiveDateString(), CultureInfo.CurrentCulture);
DateTime expirationDate = DateTime.Parse(cert.GetExpirationDateString(), CultureInfo.CurrentCulture);
if (effectiveDate <= now && expirationDate.Subtract(now) >= TimeSpan.FromDays(1))
{
result = cert;
break;
}
}
return result;
}
finally
{
store.Close();
}
}
我的库中有这段代码,每次创建新请求时都会调用此方法。所以基本上每秒的请求数是 1000 那么它将被调用 1000 次。当我使用 PerfView 工具时,我注意到此方法使用了 CPU 的 35%。最大的罪魁祸首是 store.Open 和 store.Certificates.Find 方法。
其他人在他们的代码中发现了类似的问题。另外,如果您可以分享您是如何解决由此造成的性能影响的。
只要目标系统没有安装大量的证书,您可以跳过对 X509Store 的 .Find() 方法的调用。根据我的经验,它的表现不是很好,之后您已经在为您的目标 subjectName 进行必要的过滤。
此外,不要循环遍历 X509Certificate2 的集合两次!如果您只想要满足所有条件的第一个匹配证书,您可以将事情简化为单个 LINQ 语句,如下所示:
X509Certificate2 cert =
store.Certificates.Cast<X509Certificate2>()
.FirstOrDefault(xc =>
xc.Subject.Equals("CN=" + certificateSubject, StringComparison.OrdinalIgnoreCase)
&& xc.NotAfter >= DateTime.Now.AddDays(-1)
&& xc.NotBefore <= DateTime.Now);
(请注意,根据您的使用情况和证书,您可能需要也可能不需要修改以上内容以像原始代码那样用逗号分隔主题)。
最后,正如 Wiktor Zychla 提到的,如果您的目标机器没有安装大量证书,您可以通过调用 store.Certificates.Cast<X509Certificate2>().ToList() 来缓存整个证书列表,或者如果您的证书数量有限subjectNames,使用从 subjectName 派生的键和基于 NotAfter 属性.[=17= 的过期时间简单地缓存此方法的结果可能更有效]
private static X509Certificate2 FindCertificate(string certificateSubject)
{
const StoreName StoreName = StoreName.My;
const StoreLocation StoreLocation = StoreLocation.LocalMachine;
var store = new X509Store(StoreName, StoreLocation);
try
{
store.Open(OpenFlags.ReadOnly);
// Find with the FindBySubjectName does fetch all the certs partially matching the subject name.
// Hence, further filter for the certs that match the exact subject name.
List<X509Certificate2> clientCertificates =
store.Certificates.Find(X509FindType.FindBySubjectName, certificateSubject, validOnly: true)
.Cast<X509Certificate2>()
.Where(c => string.Equals(
c.Subject.Split(',').First().Trim(),
string.Concat("CN=", certificateSubject).Trim(),
StringComparison.OrdinalIgnoreCase)).ToList();
if (!clientCertificates.Any())
{
throw new InvalidDataException(
string.Format(CultureInfo.InvariantCulture, "Certificate {0} not found in the store {1}.", certificateSubject, StoreLocation.LocalMachine));
}
X509Certificate2 result = null;
foreach (X509Certificate2 cert in clientCertificates)
{
DateTime now = DateTime.Now;
DateTime effectiveDate = DateTime.Parse(cert.GetEffectiveDateString(), CultureInfo.CurrentCulture);
DateTime expirationDate = DateTime.Parse(cert.GetExpirationDateString(), CultureInfo.CurrentCulture);
if (effectiveDate <= now && expirationDate.Subtract(now) >= TimeSpan.FromDays(1))
{
result = cert;
break;
}
}
return result;
}
finally
{
store.Close();
}
}
我的库中有这段代码,每次创建新请求时都会调用此方法。所以基本上每秒的请求数是 1000 那么它将被调用 1000 次。当我使用 PerfView 工具时,我注意到此方法使用了 CPU 的 35%。最大的罪魁祸首是 store.Open 和 store.Certificates.Find 方法。
其他人在他们的代码中发现了类似的问题。另外,如果您可以分享您是如何解决由此造成的性能影响的。
只要目标系统没有安装大量的证书,您可以跳过对 X509Store 的 .Find() 方法的调用。根据我的经验,它的表现不是很好,之后您已经在为您的目标 subjectName 进行必要的过滤。
此外,不要循环遍历 X509Certificate2 的集合两次!如果您只想要满足所有条件的第一个匹配证书,您可以将事情简化为单个 LINQ 语句,如下所示:
X509Certificate2 cert =
store.Certificates.Cast<X509Certificate2>()
.FirstOrDefault(xc =>
xc.Subject.Equals("CN=" + certificateSubject, StringComparison.OrdinalIgnoreCase)
&& xc.NotAfter >= DateTime.Now.AddDays(-1)
&& xc.NotBefore <= DateTime.Now);
(请注意,根据您的使用情况和证书,您可能需要也可能不需要修改以上内容以像原始代码那样用逗号分隔主题)。
最后,正如 Wiktor Zychla 提到的,如果您的目标机器没有安装大量证书,您可以通过调用 store.Certificates.Cast<X509Certificate2>().ToList() 来缓存整个证书列表,或者如果您的证书数量有限subjectNames,使用从 subjectName 派生的键和基于 NotAfter 属性.[=17= 的过期时间简单地缓存此方法的结果可能更有效]