0

我正在尝试在 C# 中实现一个客户端库以与 tomcat 服务器进行通信。身份验证应通过在 Windows 客户端的相互 SSL 身份验证中使用带有 X.509 证书的飞天 epass2003 令牌来完成。

但是,每次我运行客户端窗口时,我都会遇到糟糕的情况,因为它会请求令牌密码以继续操作,这对用户来说是一种过度杀伤并且不可接受的操作。

我想知道是否可以取消此请求并以某种方式将其添加到代码中。或者,如果有其他方法可以在不使用 Windows 证书管理器的情况下使用令牌。

这就是我扩展连接器的方式:

 class WebClientEx : WebClient
 { 
     public int Timeout { get; set; }

     public X509Certificate certificate { get; set; }

     protected override WebRequest GetWebRequest(Uri address)
     {
         ServicePointManager.ServerCertificateValidationCallback = delegate { return true; };
         ServicePointManager.Expect100Continue = true;
         ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls;
         HttpWebRequest request = (HttpWebRequest)base.GetWebRequest(address);
         request.Credentials = CredentialCache.DefaultCredentials;
         request.AuthenticationLevel = AuthenticationLevel.MutualAuthRequested;
         request.ClientCertificates.Add(this.certificate);
         request.Timeout = this.Timeout;
         return request;
     }
...
}   

这是我如何连接到服务器的示例:

byte[] certificate = getCertificate("autenticacao"); // Get certificate from token

 X509Certificate cert = new X509Certificate(certificate);

 var post = new NameValueCollection();
 post["test"] = "1";

 using (var wb = new WebClientEx(cert))
 {
     try
     {
         wb.Timeout = 30000;
         var response = wb.UploadValues("https://localhost:8443", "POST", post);
         Console.WriteLine("Done.");
     }
     catch (WebException e)
     {
         // Handle WebException
     }
 }

这是 Windows 请求屏幕: 在此处输入图像描述

此致,

4

1 回答 1

0

TLS 允许使用会话票证进行会话重用。请参阅RFC5077 Transport Layer Security (TLS) Session Resumption without Server-Side State,阅读Speeding up SSL: enable session reuse。服务器支持各不相同。Afaik .Net Framework 客户端支持基本上没有。请参阅TLS/SSL 和 .NET Framework 4.0

硬件模块不允许私钥离开模块,每次访问都需要 PIN。因此,如果 TLS 握手需要密钥,那么 PIN 对话是不可避免的,您唯一的机会是尝试避免私钥要求,而这只有通过可重用的 TLS 会话票证才能实现,afaik。

您可以重新考虑每次访问的双向 TLS 要求。访问一个资源(即登录页面),获取访问票证(cookie),然后使用它来验证访问其余资源。

PS。SSL 是一个不可选项,已经过时多年,现在每个人都在谈论 TLS。

于 2014-12-11T14:13:44.583 回答