我有一个在 IIS 7.5 和 .NET Framework 4.5 中运行的 ASP.NET MVC3 服务,我想在其中使用客户端证书保护对其中一个子路径的访问。对于该子路径,我制作了一个 Controller ,该 Controller 标有特制属性,该属性将访问请求客户端证书
public class CheckCertAttribute : ActionFilterAttribute
{
public override void OnActionExecuting(
ActionExecutingContext filterContext)
{
filterContext.HttpContext.Response.Headers.Add(
"CheckCertAttribute", "entered");
var cert = filterContext.HttpContext.Request.ClientCertificate;
// check the cert here, optionally return HTTP 403
}
}
最初 OnActionExecuting() 被调用,但 Certificate 为空。结果我需要在 web.config 中启用 SslNegotiateCert:
<location path="PathOfInterest">
<system.webServer>
<security>
<access sslFlags="SslNegotiateCert"/>
</security>
</system.webServer>
</location>
执行此操作后,客户端始终会收到 HTTP 403,并且不再调用该属性。
客户端证书是自签名的并导出为 .pfx(带有私钥)所以我猜问题是一旦它到达服务器端服务器不喜欢它并拒绝接受它并通过.客户端使用HttpWebRequest:
var cert = new X509Certificate2(pathToPfx, password);
var request = (HttpWebRequest)WebRequest.Create("https://my.company.com/PathOfInterest");
request.ClientCertificates.Add(cert);
request.GetResponse();
我之前已经使用过这种方法并且很有效。第一种情况是客户端证书不是自签名的,而是由中间证书签名的,而中间证书又由一些受信任的根授权机构签名——在这种情况下,我的服务配置非常相似,可以很好地接收它。第二种情况是使用自签名客户端证书进行 Azure 管理服务调用,但在这种情况下,我不知道服务器端是如何配置的。
因此我得出结论,证书的自签名性质使其“无法正常工作”。我已经做了一些额外的事情 - 也许将一些东西添加到 web.config 中或将证书添加到服务器端的某个证书存储中。我只是不知道这应该是什么。
如何使此设置生效?
最佳答案
IIS 尝试与客户端“协商”一个相互信任的连接,但由于客户端证书是自签名的,它拒绝信任它。
您的选择:
- 使用知名证书颁发机构颁发的证书。这可行,但您必须每年左右重新颁发证书。
- 运行您自己的 CA 基础设施,将其根 CA 证书添加到服务机器的“受信任的根”证书库中,并颁发用该根签名的证书(可能通过中间证书)。
- 将自签名证书添加到服务机器的“可信根目录”中。 This may induce subtle yet serious security risks .我个人反对这个选项,因为它感觉非常不安全。
- 切换到其他一些不使用客户端证书的身份验证方案。
关于c# - 无法使用自签名客户端证书对对 ASP.NET MVC3 服务的调用进行身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40038678/