5

我有这个代码:

string certificateFilePath = @"C:\Users\Administrator\Documents\Certificate.pfx";

string certificateFilePassword = "Some Password Here";

X509Certificate clientCertificate = new X509Certificate(certificateFilePath, certificateFilePassword);

TcpClient client = new TcpClient(host, port);

SslStream stream = new SslStream(client.GetStream(), false, (sender, certificate, chain, errors) => true);

X509CertificateCollection clientCertificates = new X509CertificateCollection {clientCertificate};

stream.AuthenticateAsClient(host, clientCertificates, SslProtocols.Tls, false);

当我在控制台应用程序中运行代码时,一切正常,stream.IsAuthenticatedstream.IsMutuallyAuthenticated返回truestream.LocalCertificate包含正确的证书对象。

但是,当在 a 中运行完全相同的代码时Windows Service (as LOCAL SYSTEM user),虽然stream.IsAuthenticated返回truestream.IsMutuallyAuthenticated返回falsestream.LocalCertificate返回null

在这两种情况下都会发生这种情况,在第一行运行后clientCertificate加载正确的证书数据并包含证书的正确信息SubjectIssuer.

我还尝试使用以下代码强制 SslStream 选择证书:

string certificateFilePath = @"C:\Users\Administrator\Documents\Certificate.pfx";

string certificateFilePassword = "Some Password Here";

X509Certificate clientCertificate = new X509Certificate(certificateFilePath, certificateFilePassword);

TcpClient client = new TcpClient(host, port);

SslStream stream = new SslStream(client.GetStream(), false, (sender, certificate, chain, errors) => true, (sender, host, certificates, certificate, issuers) => clientCertificate);

X509CertificateCollection clientCertificates = new X509CertificateCollection {clientCertificate};

stream.AuthenticateAsClient(host, clientCertificates, SslProtocols.Tls, false);

但是代码仍然不起作用并stream.IsMutuallyAuthenticated返回falsestream.LocalCertificate返回null

我已经探索了几天了,但我无法弄清楚。非常感谢任何帮助。

编辑:使用WinHttpCertCfg工具 尝试证书后,结果发现与类似问题不同,LOCAL SYSTEM 帐户已经可以访问目标证书的私钥,如下图所示: 目标证书的 WinHttpCertCfg 工具的输出 因此问题仍未解决。

4

2 回答 2

3

我终于在玩 X509 类的同时使代码工作了。

这是对我有用的代码:

string host = "The Host";

int port = 777;

string certificateFilePath = @"C:\Users\Administrator\Documents\Certificate.pfx";

string certificateFilePassword = "Some Password Here";

X509Certificate clientCertificate = new X509Certificate(certificateFilePath, certificateFilePassword);

X509Certificate2 clientCertificate2 = new X509Certificate2(clientCertificate); //<== Create a X509Certificate2 object from the X509Certificate which was loaded from the file. The clientCertificate2 loads the proper data

TcpClient client = new TcpClient(host, port);

SslStream stream = new SslStream(client.GetStream(), false, (sender, certificate, chain, errors) => true);

X509CertificateCollection clientCertificates = new X509CertificateCollection { clientCertificate2 }; //<== Using the clientCertificate2 which has loaded the proper data instead of the clientCertificate object

stream.AuthenticateAsClient(host, clientCertificates, SslProtocols.Tls, false);

这样我的代码就可以从系统中找到正确的 X509Store、证书和私钥。

我已经通过经验弄清楚了这一点。不过,我无法在 MSDN 上找到关于为什么它应该是这样的明确解释。

于 2017-07-17T17:55:51.660 回答
0

我们用于此类服务问题的一种调试技术是使用PsExec之类的实用程序。这将允许您作为必要的服务帐户运行交互式进程。

-s 在系统帐户中运行该进程。

帮助内容会说“远程进程”,但它也可以用于本地进程。

例如,在具有管理员权限的命令提示符中运行以下命令后,以下命令将为您提供作为系统帐户的命令提示符

PsExec.exe -s cmd

在命令窗口中,您可以使用WhoAmI命令进行检查

C:\Windows\system32>whoami
nt authority\system

这将使您能够进行一些交互式测试来尝试不同的组合。

SYSTEM 帐户在本地计算机中具有最大可能的权限。

您还会看到创建自定义帐户来运行服务是推荐的选项。但是,这有维护另一个密码的开销。在较新版本的 Windows 中有一个托管服务帐户。这可能是一个更好的选择。

托管服务帐户和虚拟帐户 — 旨在为应用程序提供其自己帐户的隔离,同时无需管理员手动管理这些帐户的 SPN 和凭据。

于 2017-07-14T02:48:38.747 回答