我有一个 Asp.net API 网站,可以进行自定义客户端证书验证。在 IIS 10 上托管此网站时,当我调用 API 时,我会从失败的请求日志中获取以下信息。
证书链已处理,但以根证书终止 不受信任提供商信任。
我的 web.config 有
<configuration>
<system.webServer>
<access sslFlags="Ssl, SslRequireCert" />
</system.webServer>
在 applicationHost.config 中我有
<section name="access" overrideModeDefault="Allow" />
我在这里缺少什么?如何将 IIS 配置为仅传递证书而不验证它?
我想这样做的原因是,这是一个测试环境,我想信任所有使用自签名证书调用我的 API 的客户。我将在 API 内部验证证书。
注意:我在 Azure AppService 上托管相同的网站,并将 “传入客户端证书” 设置为 ON。它就像一个魅力。 那么,当我将其托管在我的机器 IIS 上时有什么区别?
我们使用客户端证书来验证连接到我们 API 的硬件设备。就上下文而言,我们的设备在制造时就配备了 SSL 证书,并且该证书由我们自签名。当野外设备尝试连接到我们的 API 时,我们会在 .NET API 应用程序本身内处理客户端证书验证。
这需要以下 IIS SSL 设置,还需要手动步骤来重新绑定 SSL 绑定(我们这样做是为了解决非常具体的技术限制)。
首先,在 web.config 文件中我们有以下配置:
<security>
<access sslFlags="Ssl" />
</security>
如果我们添加 SslNegotiateCert 或 SslRequireCert sslFlags,则 IIS 会在调用我们的应用程序代码之前尝试验证客户端证书。所以我们只设置 Ssl 标志。
其次,在IIS站点的SSL设置中我们设置:
需要 SSL [x]
客户证书:
[x] 忽略
[ ] 接受
[ ] 需要
所以本质上我们并没有要求 IIS 代表我们协商客户端证书。
我们所做的最后一个配置更改是在 SSL 绑定上启用“协商客户端证书”。默认情况下,当您在 IIS 中创建 SSL 绑定时,“协商客户端证书”属性设置为 false。
根据我的理解,这意味着 IIS 不会在初始 TLS 协商时协商客户端证书。会发生的情况是,当需要客户端证书时,会触发 TLS 重新协商,并且服务器会向客户端请求客户端证书。
在我们的例子中,我们的设备在初始请求时传递客户端证书,并且不会处理 TLS 重新协商。因此,通过启用“协商客户端证书”,可以在初始请求中传递客户端证书。
因此,重新绑定 SSL 绑定需要一些命令行魔法来查找当前绑定,将其删除,然后在启用“协商客户端证书”的情况下重新添加绑定。
第 1 步 - 找到您的 SSL 绑定:
在 CMD 终端中运行以下命令:
netsh http 显示 sslcert > sslcerts.txt
这会将当前 SSL 绑定的所有详细信息推送到 sslcerts.txt 中
该文件将如下所示:
Hostname:port : yourhostname:443
Certificate Hash : your_certificate_hash
Application ID : {your_applicationID_Guid}
Certificate Store Name : My
Verify Client Certificate Revocation : Enabled
Verify Revocation Using Cached Client Certificate Only : Disabled
Usage Check : Enabled
Revocation Freshness Time : 0
URL Retrieval Timeout : 0
Ctl Identifier : (null)
Ctl Store Name : (null)
DS Mapper Usage : Disabled
Negotiate Client Certificate : Disabled
请注意,您的 sslcerts.txt 文件将包含这些绑定的许多实例。您需要为您正在使用的应用程序/网站找到正确的应用程序/网站。
另请注意,上面的输出显示“协商客户端证书:已禁用”
第 2 步 - 删除当前绑定
运行以下命令删除当前绑定
netsh http 删除 sslcert 主机名端口=你的主机名:443
这将删除该网站的 SSL 绑定。
第 3 步 - 重新绑定 SSL 并启用“协商客户端证书”
在 CMD 提示符下运行以下命令:
netsh http add sslcert hostnameport=yourhostname:443 certhash=your_certificate_hash appid={your_applicationID_Guid} certstorename=MY verifyclientcertrevotion=启用VerifyReplicationWithCachedClientCertOnly=禁用UsageCheck=启用clientcertnegotiation=启用
请注意,此处您将根据在 sslcerts.txt 中检索到的详细信息填写绑定的属性,除非您设置 clientcertnegotiation=Enable
现在我们有一个 IIS 应用程序,它将预先协商客户端证书,但它不会验证它,并允许我们在代码中验证它。
然后,我们使用 AuthorizationFilterAttribute 来获取客户端证书并根据我们的规则对其进行验证。
public class ValidateDeviceClientCertificateAttribute : AuthorizationFilterAttribute
{
public override void OnAuthorization(HttpActionContext actionContext)
{
X509Certificate2 cert = actionContext.Request.GetClientCertificate();
// Validation rules here i.e. check Hash of the signing cert, does it match your accepted value?
}
}
在我们的验证中,我们有一个已知的中间 CA,用于签署我们的设备证书,因此我们检查以确保客户端证书是由该中间证书或至少一个我们的设备签名中间证书签署的。