Używanie certyfikatu klienta spoza magazynu certyfikatów

Question

Próbuję uwierzytelnić się w usłudze WebService za pomocą mojego certyfikatu klienta, ale z pewnych powodów (wyjaśnię), nie chcę ładować certyfikatu ze sklepu, raczej odczytać go z dysku .

Poniższy:

// gw is teh WebService client 
X509Certificate cert = new X509Certificate(PathToCertificate); 
_gw.ClientCertificates.Add(ClientCertificate()); 
ServicePointManager.ServerCertificateValidationCallback = (a,b,c,d) => true; 
_gw.DoSomeCall(); 

powraca zawsze 403 - Służba mnie nie dopuszczają. Ale kiedy zapiszę ten certyfikat do CertStore, to działa. (Jak podano w MSDN).

Czy można użyć certyfikatu poza sklepem?

(powodem jest to, że mam usługa Windows (klient) czasami wzywającą usługa (serwer), a moje certyfikaty po bliżej nieokreślonym czasie do „zapomina” usługa i robi zezwolić na serwerze, bez widocznej przyczyny)

Answer 1

Jaki typ pliku to PathToCertificate? Jeśli jest to plik .cer, nie będzie zawierał klucza prywatnego dla certyfikatu i próba użycia tego certyfikatu dla protokołu SSL/TLS zakończy się niepowodzeniem.

Jeśli jednak masz plik PKCS7 lub PKCS12, który zawiera publiczny i prywatny klucz dla certyfikatu, twój kod będzie działał (może być konieczne użycie przeciążenia, które pobiera hasło, jeśli klucz prywatny go ma).

Aby to przetestować, połączyłem się z http://www.mono-project.com/UsingClientCertificatesWithXSP i utworzyłem plik client.p12 zgodnie z tymi instrukcjami. Stworzyłem również prosty serwer HTTPS przy użyciu HttpListener do testowania.

Potem opracowano następujący program do „Client.exe” i uruchomić jak:

client.exe https://<MYSSLSERVER>/ client.p12 password 

gdzie client.p12 jest generowany plik PKCS12 przed i „hasło” to hasło I ustaw dla klucza prywatnego certyfikatu.

using System; 
using System.IO; 
using System.Net; 
using System.Security.Cryptography.X509Certificates; 
using System.Text; 

public class HttpWebRequestClientCertificateTest : ICertificatePolicy { 

    public bool CheckValidationResult (ServicePoint sp, X509Certificate certificate, 
      WebRequest request, int error) 
    { 
      return true; // server certificate's CA is not known to windows. 
    } 

    static void Main (string[] args) 
    { 
      string host = "https://localhost:1234/"; 
      if (args.Length > 0) 
        host = args[0]; 

      X509Certificate2 certificate = null; 
      if (args.Length > 1) { 
        string password = null; 
        if (args.Length > 2) 
          password = args [2]; 
        certificate = new X509Certificate2 (args[1], password); 
      } 

      ServicePointManager.CertificatePolicy = new HttpWebRequestClientCertificateTest(); 

      HttpWebRequest req = (HttpWebRequest) WebRequest.Create (host); 
      if (certificate != null) 
        req.ClientCertificates.Add (certificate); 

      WebResponse resp = req.GetResponse(); 
      Stream stream = resp.GetResponseStream(); 
      StreamReader sr = new StreamReader (stream, Encoding.UTF8); 
      Console.WriteLine (sr.ReadToEnd()); 
    } 
} 

Daj mi znać, jeśli chcesz, żebym załadował kod serwera i certyfikaty użyte po obu stronach testu.

Answer 2

Czy potrzebujesz hasła do certyfikatu? Jeśli tak, w konstruktorze jest dostępne pole.

X509Certificate cert = new X509Certificate(PathToCertificate,YourPassword); 

Answer 3

masz potencjał, przez co najmniej dwa problemy ...

First ...

Plik certyfikatu klienta nie może zawierać klucz prywatny, chyba że jest dostępne za pomocą hasła. Powinieneś używać certyfikatu PKCS # 12 (* .pfx) z hasłem, aby twój klient miał dostęp do klucza prywatnego. Kod klienta będzie musiał podać hasło podczas otwierania certyfikatu, jak już napisali inni. Istnieje kilka sposobów, aby stworzyć ten najłatwiej jest użyć następującego wiersza polecenia, aby najpierw wygenerować certyfikat, a następnie użyć menedżera certyfikatów MMC eksportować certyfikatach klucza prywatnego:

Process p = Process.Start(
    "makecert.exe", 
    String.Join(" ", new string[] { 
     "-r",//      Create a self signed certificate 
     "-pe",//     Mark generated private key as exportable 
     "-n", "CN=" + myHostName,// Certificate subject X500 name (eg: CN=Fred Dews) 
     "-b", "01/01/2000",//  Start of the validity period; default to now. 
     "-e", "01/01/2036",//  End of validity period; defaults to 2039 
     "-eku",//     Comma separated enhanced key usage OIDs 
     "1.3.6.1.5.5.7.3.1," +// Server Authentication (1.3.6.1.5.5.7.3.1) 
     "1.3.6.1.5.5.7.3.2", //  Client Authentication (1.3.6.1.5.5.7.3.2) 
     "-ss", "my",//    Subject's certificate store name that stores the output certificate 
     "-sr", "LocalMachine",// Subject's certificate store location. 
     "-sky", "exchange",//  Subject key type <signature|exchange|<integer>>. 
     "-sp",//     Subject's CryptoAPI provider's name 
     "Microsoft RSA SChannel Cryptographic Provider", 
     "-sy", "12",//    Subject's CryptoAPI provider's type 
     myHostName + ".cer"//  [outputCertificateFile] 
    }) 
); 

Second ...

Twoim następnym problemem będzie serwer. Serwer musi zezwolić na ten certyfikat. Masz odpowiednią logikę, ale po niewłaściwej stronie drutu przesuń tę linię do serwera WWW obsługującego żądanie. Jeśli nie możesz, musisz wziąć ".plik cer”zapisane powyżej na serwer i dodać go do listy zaufanych komputerze serwera jest:

ServicePointManager.ServerCertificateValidationCallback = (a,b,c,d) => true; 

Answer 4

Potencjalny problem może być buforowanie sesji SSL (Schannel cache). Tylko pierwsze żądanie negocjuje uzgadnianie SSL. Kolejne żądania będą korzystać z tego samego identyfikatora sesji i mam nadzieję, że serwer to zaakceptuje. Jeśli serwer wyczyści SessionId, żądania zakończą się błędem 403. Aby wyłączyć lokalne buforowanie sesji SSL (i zmusić negocjacji SSL dla każdego żądania) trzeba otworzyć okna folderów rejestru:

[HKEY_LOCAL_MACHINE] [System] [CurrentControlSet] [CONTROL] [SecurityProviders] [SCHANNEL]

i dodaj klucz o nazwie ClientCacheTime (DWORD) o wartości 0.

Ten problem jest pokryty tutaj:

http://support.microsoft.com/?id=247658