我得到了一个带有3个证书的.p12证书文件。其中2个是CA证书。
如果我使用curl(在Win10上为7.70),则可以执行以下操作:curl -s -S -i -cert Swish_Merchant_TestCertificate_1234679304.p12:swish --cert-type p12 --tlsv1.2 --header“ Content-Type:application / json”https://mss.cpc.getswish.net/swish-cpcapi/api/v1/paymentrequests--data-binary @ jsondata.json
在连接到服务器时,Curl将使用p12文件中的CA证书。
另一方面,如果我尝试在.net core(3.1)中执行类似的操作,它将失败,并显示错误消息“收到的消息意外或格式错误。]
var handler = new HttpClientHandler();
var certs = new X509Certificate2Collection();
certs.Import(@"Swish_Merchant_TestCertificate_1234679304.p12", "swish", X509KeyStorageFlags.MachineKeySet | X509KeyStorageFlags.PersistKeySet);
foreach (var cert in certs)
{
handler.ClientCertificates.Add(cert);
}
var client = new HttpClient(handler);
var url = "https://mss.cpc.getswish.net/swish-cpcapi/api/v1/paymentrequests";
var request = new HttpRequestMessage()
{
RequestUri = new Uri(url),
Method = HttpMethod.Post,
};
request.Content = new StringContent(System.IO.File.ReadAllText(@"jsondata.json"), Encoding.UTF8, "application/json");
request.Headers.Add("accept", "*/*");
var response = await client.SendAsync(request);
使用Wireshark,我看到curl从p12文件发送了所有三个证书,而.net核心仅发送了一个。请参见下面的图像。
如果我将CA证书安装到“当前用户”的“个人证书”中,则.net核心也会发送所有三个证书,并且它可以正常工作。
问题:使用.net core时是否必须将CA证书安装到证书存储中?或者是否有一种使其表现得像使用来自p12文件的证书的curl一样的方法?
简短的回答:否*。
Wordier简介:SslStream
从ClientCertificates
集合中选择一个证书,使用的数据是(过去,但不再普遍)由TLS服务器发送的有关适当根的数据(如果不适用,则选择HasPrivateKey
为真的第一件事)。在选择过程中,将单独检查每个候选证书,并要求系统解析链。在Windows上,然后将选定的证书发送到系统库,以显示“我们正在执行TLS”,这是限制的来源(IIRC)。 (.NET Core的macOS和Linux版本只是尝试保持行为均等)
一旦选择了证书,就可以最后一次确定要在握手中包括哪些证书的过程,而无需从ClientCertificates
集合中获取任何其他上下文。
如果知道集合代表一个链,最好的答案是将CA元素导入用户的CertificateAuthority存储中。该存储区不授予对CA证书的任何信任,它实际上只是在构建链时使用的缓存。
而且,您不需要PersistKeySet,也可能不需要MachineKeySet:What is the rationale for all the different X509KeyStorageFlags?
var handler = new HttpClientHandler();
using (X509Store store = new X509Store(StoreName.CertificateAuthority, StoreLocation.CurrentUser))
{
store.Open(OpenFlags.ReadWrite);
var certs = new X509Certificate2Collection();
certs.Import(@"Swish_Merchant_TestCertificate_1234679304.p12", "swish", X509KeyStorageFlags.DefaultKeySet);
foreach (X509Certificate2 cert in certs)
{
if (cert.HasPrivateKey)
{
handler.ClientCertificates.Add(cert);
}
else
{
store.Add(cert);
}
}
}
var client = new HttpClient(handler);
...
*如果您的系统已经导入了CA链,那么它将起作用。或者,如果CA链使用Authority Information Access扩展发布CA证书的可下载副本,则链引擎将找到它,并且一切正常。