我们的应用程序适用于 Active Directory 用户和组。我们在端口 389 上使用 LDAP 进行 Active Directory 操作。现在,我们的一位客户希望我们添加使用 LDAP + SSL 进行 Active Directory 通信的选项。
他们告诉我们他们在他们的域上安装了一个本地 CA,并为 LDAPS 使用自签名证书。他们还告诉我们他们会提供证书,不需要相互信任,我们应该使用 Windows 证书存储。
我为 LDAP+SSL 操作开发了一个测试应用程序,并看到当客户端启动 LDAP+SSL 连接时,服务器会发送其证书。我只能通过从服务器证书验证方法返回 true 来建立连接。
问题是; - 客户应该给我们什么证书(root,用于LDAP+SSL的证书...)?
在.Net环境下工作的证书应该是什么格式?
连接服务器时如何验证服务器证书?
“我们应该使用 Windows 证书存储”是什么意思?他们是否希望我们将服务器的证书自动添加到本地计算机的受信任证书存储区?
我用于 LDAP+SSL 连接的示例代码,
LdapConnection _connection = new LdapConnection(new LdapDirectoryIdentifier(m_DomainName, m_PortNo));
_connection.Timeout = TimeSpan.FromMinutes(10);
_connection.AuthType = AuthType.Basic;
_connection.Credential = new NetworkCredential(m_UserName, m_Password);
_connection.SessionOptions.ProtocolVersion = 3;
_connection.SessionOptions.SecureSocketLayer = true;
_connection.SessionOptions.VerifyServerCertificate = (ldapCon, serverCertificate) =>
{
//TODO: Verify server certificate
return true;
};
_connection.SessionOptions.QueryClientCertificate = (con, trustedCAs) => null;
_connection.Bind();
最佳答案
客户应该给我们什么证书(root,LDAP+SSL使用的证书...)?
签署 LDAP 服务器证书的根证书。他们也可以提前给你整个链,但无论如何都会在 TLS 握手期间发送。您只需要提前拥有根证书。
在.Net环境下工作的证书应该是什么格式?
您可以导入到 certmgr.msc 中的任何内容。 Pfx 是 Windows 上的常用选择。
连接服务器时如何验证服务器证书?
您不应该自己编写验证。证书验证是一项棘手的工作,它已经为您完成了。使用内置的东西(另见下文)。
“我们应该使用 Windows 证书存储”是什么意思?他们是否希望我们将服务器的证书自动添加到本地计算机的受信任证书存储区?
是的。他们向您发送用于签署 ldap 服务器证书的根证书,然后您可以将其作为受信任的根导入。完成此操作后,您无需进行任何手动验证,它就可以正常工作™ :) 使用有效证书,不会使用无效证书。
请注意,一旦您将他们的根证书添加为受信任的,他们就可以为安装了他们的根的客户端伪造任何服务器证书,并且他们签署的任何内容都将被视为在该客户端上有效。
奖励:添加半自定义验证和调试证书错误
您可能面临的一个问题是错误消息不是很有帮助。如果无法验证证书,您将收到一条非常笼统的错误消息,没有任何关于实际问题的提示。出于其他原因,您可能还想加入验证过程。
为此,您可以定义自己的验证:
private bool VerifyServerCertificate(LdapConnection ldapConnection, X509Certificate certificate)
{
X509Certificate2 certificate2 = new X509Certificate2( certificate );
return certificate2.Verify();
}
然后添加到ldap连接中:
_connection.SessionOptions.VerifyServerCertificate =
new VerifyServerCertificateCallback( VerifyServerCertificate );
这样您就可以在 Verify()
等上捕获异常。但是同样,如果证书有效(可以由客户端验证),这并不是严格需要的,它会自动完成。只有当您想要未实现的东西时才需要这个,例如您可以在 VerifyServerCertificate
中返回 true 以接受包括无效证书在内的任何证书(这将是一个坏主意并使安全连接无用,但可能有助于调试等)。
您可以在此方法中实现的另一件事是 certificate pinning为了额外的安全性,但这超出了这个答案的范围。
关于c# - 如何验证 LDAP+SSL 连接的服务器 SSL 证书,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41012790/