我有一个自定义的 X509CertificateValidator,它当前针对为 WCF SOAP 消息提供的证书验证一系列规则。
需要根据提供证书的域检查证书上的 CN 名称,但我不知道我可以从 X509CertificateValidator 中访问请求。
有什么方法可以检查证书是否与请求域匹配?
问问题
723 次
1 回答
2
我还没有从 X509CertificateValidator 中找到任何方法来执行此操作,但在服务中是可能的。
这是我的第一个剪辑 - 我将对其进行改进以使其更优雅,但这很有效。
private static void ValidateRequestIsFromCertificateDomain()
{
RemoteEndpointMessageProperty endpointProperty = OperationContext.Current.IncomingMessageProperties[RemoteEndpointMessageProperty.Name] as RemoteEndpointMessageProperty;
var claimSet = OperationContext.Current.ServiceSecurityContext.AuthorizationContext.ClaimSets[0] as X509CertificateClaimSet;
string domain = claimSet.X509Certificate.GetNameInfo(X509NameType.DnsName, false);
var resolvedAddress = System.Net.Dns.GetHostAddresses(domain);
if (resolvedAddress.Count() == 0 || endpointProperty.Address != resolvedAddress[0].ToString())
{
throw new SecurityException("Client address mismatch");
}
}
这并不是真正需要的,因为客户端使用其私钥加密数据,而该私钥只能使用其公钥解密 - 因此您知道证书是由真实客户端提供的。
但是,如果您像我一样将其作为集成要求,这可能对您有用。
于 2012-12-14T15:15:32.313 回答