27

我有一个 asp.net 应用程序,我需要使用 X509 证书对用户进行身份验证。也就是说,用户必须安装我颁发的证书,这样他才能浏览我的网站,我可以通过这个证书识别出哪个用户。

我已经在 IIS 上配置了 SSL,但这不是我现在要寻找的,而且我不知道从哪里开始。

如何在 asp.net c# 中实现这一点?

4

2 回答 2

25

要创建安全的身份验证机制,您将同时使用客户端证书和用户名/密码。原因是证书是可以被盗(复制)的东西,而密码是只有个人知道的东西。另一种方法是智能卡上的证书,受 PIN 保护。

要在 ASP.NET 应用程序中使用客户端证书,您需要执行以下操作:

第 1 步:在 IIS 管理器中,打开您的应用程序或网站,选择 SSL 设置,然后选择需要 SSL 和需要客户端证书。

现在,当用户打开您的网站时,浏览器将提示他选择将在通信中使用的客户端证书。

重要此时您必须确保证书是由您信任的人颁发的(因为任何人都可以创建自己的自签名证书)。

第 2 步:添加配置项(web.config、数据库等)。在此列表中,您将为您的客户端证书添加整个 CA(证书颁发机构)链的指纹。

<add key="ClientCertificateIssuerThumbprints" value="4901f5b87d736cd88792bd5ef7caee91bf7d1a2b,0113e31aa85d7fb02740a1257f8bfa534fb8549e,c9321de6b5a82666cf6971a18a56f2d3a8675602"/>

第三步:创建经典的用户名/密码登录页面。验证用户名/密码。

第 4 步:将以下代码添加到您的登录页面:

var x509 = new X509Certificate2(this.Request.ClientCertificate.Certificate);
var chain = new X509Chain(true);
chain.ChainPolicy.RevocationMode = X509RevocationMode.Offline;
chain.Build(x509);

var validThumbprints = new HashSet<string>(
    System.Configuration.ConfigurationManager.AppSettings["ClientCertificateIssuerThumbprints"]
        .Replace(" ", "").Split(',', ';'),
    StringComparer.OrdinalIgnoreCase);

// if the certificate is self-signed, verify itself.
for (int i = chain.ChainElements.Count > 1 ? 1 : 0; i < chain.ChainElements.Count; i++)
{
    if (!validThumbprints.Contains(chain.ChainElements[i].Certificate.Thumbprint))
        throw new UnauthorizedAccessException("The client certificate selected is not authorized for this system. Please restart the browser and pick the certificate issued by XXXXX");
}

// certificate Subject would contain some identifier of the user (an ID number, SIN number or anything else unique). here it is assumed that it contains the login name and nothing else
if (!string.Equals("CN=" + login, x509.Subject, StringComparison.OrdinalIgnoreCase))
    throw new UnauthorizedAccessException("The client certificate selected is authorized for another user. Please restart the browser and pick another certificate.");

只有当密码和证书都被检查时,用户才应该被允许进入系统。

于 2013-03-05T17:58:37.677 回答
13

假设您有 IIS 7.0 或更高版本,您可以配置客户端证书映射身份验证

使用 Active Directory(非常简单,将映射工作留给 AD 服务器)

<location path="Default Web Site">
   <system.webServer>
      <security>
         <access sslFlags="Ssl, SslNegotiateCert" />
          <authentication>
            <windowsAuthentication enabled="false" />
            <anonymousAuthentication enabled="false" />
            <digestAuthentication enabled="false" />
            <basicAuthentication enabled="false" />
            <clientCertificateMappingAuthentication enabled="true" />
         </authentication>
     </security>
   </system.webServer>
</location>

使用 IIS(IIS 中需要更多配置,需要访问客户端证书,但独立工作,无需往返 AD)。在这种情况下,您指定(一个或多个)用户凭据和

  • 将每个用户映射到证书的公钥到您指定其凭据的用户,或者
  • 根据证书字段中的值将多个证书映射到用户

配置(多对一):

<location path="Default Web Site">
   <system.webServer>
      <security>
         <authentication>
            <windowsAuthentication enabled="false" />
            <anonymousAuthentication enabled="false" />
            <digestAuthentication enabled="false" />
            <basicAuthentication enabled="false" />
            <iisClientCertificateMappingAuthentication enabled="true"
                  manyToOneCertificateMappingsEnabled="true">
               <manyToOneMappings>
                  <add name="Contoso Employees"
                        enabled="true"
                        permissionMode="Allow"
                        userName="Username"
                        password="[enc:AesProvider:57686f6120447564652c2049495320526f636b73:enc]">
                     <rules>
                        <add certificateField="Subject"
                           certificateSubField="O"
                           matchCriteria="Contoso"
                           compareCaseSensitive="true" />
                     </rules>
                  </add>
               </manyToOneMappings>
            </iisClientCertificateMappingAuthentication>
         </authentication>
         <access sslFlags="Ssl, SslNegotiateCert" />
      </security>
   </system.webServer>
</location>

(示例配置相当厚颜无耻地从 iis.net 文档页面上的示例中复制,这些示例非常详尽。)

或者,您可以将应用程序配置为使用基于声明的身份验证和基于客户端证书对客户端进行身份验证的安全令牌服务 (STS)。ADFS 2.0 可以完成这个角色,或者如果它不可用,您可以查看Thinktecture Identity Server

于 2013-03-11T11:00:52.777 回答