看起来你在把Node.js的CA证书验证逻辑迁移到.NET 8时遇到了SSL连接问题，我来帮你梳理下可能的问题点和解决思路，结合你的代码逐一分析：

一、核心问题：PEM证书加载与信任链配置逻辑不匹配 #

Node.js和.NET对SSL证书的处理逻辑有差异，你的代码里主要有两个关键问题需要修正：

1. PEM格式证书的加载方式不正确

Node.js可以直接读取PEM文本格式的证书，但.NET的X509Certificate2默认构造函数对PEM文件的支持有限，直接用new X509Certificate2(path)加载PEM可能无法正确解析证书内容（尤其是纯文本的PEM文件，未打包为PFX格式时）。

修复方法：
.NET 5+提供了专门的PEM加载方法，替换你的证书加载循环：

foreach (var path in filePathList)
{
    if (File.Exists(path))
    {
        logger.LogDebug($"Files exists {path}");
        X509Certificate2 cert;
        // 区分PEM和CRT文件，统一用CreateFromPemFile加载（CRT如果是PEM格式也兼容）
        if (path.EndsWith(".pem", StringComparison.OrdinalIgnoreCase) || path.EndsWith(".crt", StringComparison.OrdinalIgnoreCase))
        {
            cert = X509Certificate2.CreateFromPemFile(path);
        }
        else
        {
            cert = new X509Certificate2(path);
        }
        // 打印证书信息，确认加载成功
        logger.LogDebug($"Loaded cert: Subject={cert.Subject}, Thumbprint={cert.Thumbprint}");
        _trustedCertificates.Add(cert);
    }
}

2. 信任链配置逻辑错误

Node.js中agentOptions.ca是将这些证书作为信任根CA来验证服务器证书；但你当前的.NET代码把证书加到ExtraStore，这个属性的作用是补充缺失的中间证书，而非作为信任根来验证服务器证书是否由指定CA签发。

修复方法：
修改验证回调，将自定义CA设置为信任根，替代默认的系统信任链：

var handler = new HttpClientHandler()
{
    SslProtocols = SslProtocols.Tls12,
    ServerCertificateCustomValidationCallback = (message, serverCert, chain, sslPolicyErrors) =>
    {
        logger.LogDebug("ServerCertificateCustomValidationCallback called. Errors: {Errors}", sslPolicyErrors);

        // 默认验证通过直接返回
        if (sslPolicyErrors == SslPolicyErrors.None)
        {
            return true;
        }

        // 构建自定义信任链
        using var customChain = new X509Chain();
        // 设置信任模式为自定义根信任
        customChain.ChainPolicy.TrustMode = X509ChainTrustMode.CustomRootTrust;
        // 清空系统默认信任根，只使用我们的自定义CA
        customChain.ChainPolicy.CustomTrustStore.Clear();
        foreach (var caCert in _trustedCertificates)
        {
            customChain.ChainPolicy.CustomTrustStore.Add(caCert);
        }
        // 关闭吊销检查（和Node.js的strictSSL=true行为一致，Node.js默认不检查吊销）
        customChain.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;
        // 关闭额外验证标志，仅验证信任根
        customChain.ChainPolicy.VerificationFlags = X509VerificationFlags.NoFlag;

        // 验证服务器证书是否由自定义CA签发
        bool isChainValid = customChain.Build(serverCert);
        if (!isChainValid)
        {
            foreach (var status in customChain.ChainStatus)
            {
                logger.LogError("Custom chain validation failed: {Status} - {Detail}", status.Status, status.StatusInformation);
            }
        }

        return isChainValid;
    }
};

二、额外排查点 #

1. 确认SSL协议版本匹配：Node.js默认可能会协商TLS 1.2/1.3，你已经指定了SslProtocols.Tls12，和Node.js的配置一致，这部分没问题，但可以尝试加上Tls13（如果服务器支持）：

   SslProtocols = SslProtocols.Tls12 | SslProtocols.Tls13
   

2. 检查证书是否完整：确保所有Node.js中用到的证书都被正确加载到.NET项目中，路径无误（你已经加了存在性日志，这部分应该没问题）。
3. 中间证书补充：如果服务器返回的证书链不完整，你可以把中间证书加到customChain.ChainPolicy.ExtraStore，但你的情况是已经把所有相关证书都加了，所以这部分可能不需要额外处理。

三、简化版完整代码示例 #

整合上述修复后的完整.NET代码片段：

var _trustedCertificates = new X509Certificate2Collection();
var filePathList = new string[] { 
    Path.Combine(this.ProjectRootPath, "file1.pem"),
    Path.Combine(this.ProjectRootPath, "file2.pem"),
    Path.Combine(this.ProjectRootPath, "file3.crt"),
    Path.Combine(this.ProjectRootPath, "file4.crt"),
    Path.Combine(this.ProjectRootPath, "file5.crt"),
    Path.Combine(this.ProjectRootPath, "file6.crt") 
};

foreach (var path in filePathList)
{
    if (File.Exists(path))
    {
        logger.LogDebug($"Files exists {path}");
        var cert = X509Certificate2.CreateFromPemFile(path);
        logger.LogDebug($"Loaded cert: {cert.Subject}");
        _trustedCertificates.Add(cert);
    }
}

var handler = new HttpClientHandler()
{
    SslProtocols = SslProtocols.Tls12 | SslProtocols.Tls13,
    ServerCertificateCustomValidationCallback = (msg, serverCert, chain, errors) =>
    {
        logger.LogDebug("Validation callback triggered. Errors: {Errors}", errors);

        if (errors == SslPolicyErrors.None) return true;

        using var customChain = new X509Chain();
        customChain.ChainPolicy.TrustMode = X509ChainTrustMode.CustomRootTrust;
        customChain.ChainPolicy.CustomTrustStore.AddRange(_trustedCertificates);
        customChain.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;
        customChain.ChainPolicy.VerificationFlags = X509VerificationFlags.NoFlag;

        var isValid = customChain.Build(serverCert);
        if (!isValid)
        {
            foreach (var status in customChain.ChainStatus)
            {
                logger.LogError("Chain error: {Status} - {Info}", status.Status, status.StatusInformation);
            }
        }

        return isValid;
    }
};

this.httpClient = new HttpClient(handler);
this.httpClient.DefaultRequestHeaders.Add("cache-control", "no-cache");
this.httpClient.DefaultRequestHeaders.Add("SoapAction", "");
this.httpClient.BaseAddress = new Uri("https://targetUrl.com/");

按照这个配置，应该就能和Node.js的SSL验证逻辑对齐，解决SSL连接失败的问题了。如果还是有问题，可以查看自定义链验证的错误日志，根据具体错误进一步排查~