2

我有一个进行自定义客户端证书验证的 Asp.net API 网站。在 IIS 10 上托管此网站时,当我调用我的 API 时,我从失败的请求日志中得到以下信息。

已处理的证书链,但在信任提供者不信任的根证书中终止。

我的 web.config 有

<configuration>
    <system.webServer>
        <access sslFlags="Ssl, SslRequireCert" /> 
    </system.webServer>

在 applicationHost.config 我有

<section name="access" overrideModeDefault="Allow" />

我在这里想念什么?如何将 IIS 配置为仅通过证书而不对其进行验证?

我想这样做的原因是,这是一个测试环境,我想信任所有使用他们的自签名证书调用我的 API 的客户端。我将在我的 API 中对证书进行内部验证。

注意:我在 Azure AppService 上托管了同一个网站,并将“传入客户端证书”设置为ON。它就像一个魅力。那么,当我将它托管在我的机器 IIS 上时有什么区别?

4

1 回答 1

3

我们使用客户端证书来验证连接到我们 API 的硬件设备。就上下文而言,我们的设备在制造时配备了 SSL 证书,并且该证书由我们自签名。当野外的设备尝试连接到我们的 API 时,我们会在 .NET API 应用程序本身内处理客户端证书验证。

这需要以下 IIS SSL 设置,以及重新绑定 SSL 绑定的手动步骤(我们这样做是为了非常具体的技术限制)。

所以首先,在 web.config 文件中,我们有这个配置:

  <security>
    <access sslFlags="Ssl" />
  </security>

如果我们添加 SslNegotiateCert 或 SslRequireCert sslFlags,那么 IIS 会在我们的应用程序代码被调用之前尝试验证客户端证书。所以我们只设置了 SSL 标志。

其次,在我们设置的IIS站点的SSL设置中:

需要 SSL [x]

客户证书:

[x] 忽略

[ ] 接受

[ ] 要求

所以本质上我们并没有要求 IIS 代表我们协商客户端证书。

我们所做的最后一个配置更改是在 SSL 绑定上启用“协商客户端证书”。默认情况下,当您在 IIS 中创建 SSL 绑定时,“协商客户端证书”属性设置为 false。

据我了解,这意味着 IIS 不会在初始 TLS 协商中协商客户端证书。当需要客户端证书时会发生什么情况,触发 TLS 重新协商,服务器将从客户端请求客户端证书。

在我们的例子中,我们的设备在初始请求时通过客户端证书,并且不会处理 TLS 重新协商。因此,通过启用“协商客户端证书”,可以在初始请求中传递客户端证书。

所以重新绑定 SSL 绑定需要一些命令行魔法来找到当前绑定,删除它,并在启用“协商客户端证书”的情况下读取绑定。

第 1 步 - 找到您的 SSL 绑定:

在 CMD 终端中运行以下命令:

netsh http 显示 sslcert > sslcerts.txt

这会将您当前 SSL 绑定的所有详细信息推送到 sslcerts.txt

该文件将如下所示:

SSL 证书绑定:

Hostname:port                : yourhostname:443
Certificate Hash             : your_certificate_hash
Application ID               : {your_applicationID_Guid}
Certificate Store Name       : My
Verify Client Certificate Revocation : Enabled
Verify Revocation Using Cached Client Certificate Only : Disabled
Usage Check                  : Enabled
Revocation Freshness Time    : 0
URL Retrieval Timeout        : 0
Ctl Identifier               : (null)
Ctl Store Name               : (null)
DS Mapper Usage              : Disabled
Negotiate Client Certificate : Disabled

请注意,您的 sslcerts.txt 文件将包含这些绑定的许多实例。您需要为您正在使用的应用程序/站点找到正确的。

另请注意,上面的输出显示“协商客户端证书:已禁用”

第 2 步 - 删除当前绑定

运行以下命令删除当前绑定

netsh http 删除 sslcert 主机名端口=您的主机名:443

这将删除站点的 SSL 绑定。

第 3 步 - 在启用“协商客户端证书”的情况下重新绑定 SSL

在 CMD 提示符下运行以下命令:

netsh http add sslcert hostnameport=yourhostname:443 certash=your_certificate_hash appid={your_applicationID_Guid} certstorename=MY verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

请注意,这里您是根据您在 sslcerts.txt 中检索到的详细信息填写绑定的属性,除非您设置的是 clientcertnegotiation=Enable

现在我们有一个 IIS 应用程序,它将预先协商客户端证书,但它不会验证它,并允许我们在代码中验证它。

然后我们使用 AuthorizationFilterAttribute 来获取客户端证书并根据我们的规则对其进行验证。

public class ValidateDeviceClientCertificateAttribute : AuthorizationFilterAttribute
{
    public override void OnAuthorization(HttpActionContext actionContext)
    {
        X509Certificate2 cert = actionContext.Request.GetClientCertificate();
        // Validation rules here i.e. check Hash of the signing cert, does it match your accepted value?
    }
}

在我们的验证中,我们有一个已知的中间 CA,我们用它来签署我们的设备证书,因此我们检查以确保客户端证书是由该中间证书或至少一个我们的设备签署中间证书签署的。

于 2020-11-24T14:34:13.967 回答