asp.net - 在 IIS 10 中禁用 Asp.net 网站的客户端证书验证，但允许应用程序请求传入的客户端证书

Question

我有一个执行自定义客户端证书验证的 Asp.net API 网站。在 IIS 10 上托管此网站时，我在调用 API 时从失败的请求日志中得到以下信息。

A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.

我的 web.config 有

<configuration>
    <system.webServer>
        <access sslFlags="Ssl, SslRequireCert" /> 
    </system.webServer>

在 applicationHost.config 中我有

<section name="access" overrideModeDefault="Allow" />

我在这里缺少什么？如何将 IIS 配置为只传递证书而不验证证书？

我想这样做的原因是，这是一个测试环境，我想信任所有使用自签名证书调用我的 API 的客户。我将在我的 API 内部验证证书。

注意:我在 Azure AppService 上托管了同一个网站，并将“传入客户端证书”设置为ON。它就像一个魅力。 那么，当我在我的机器 IIS 上托管它时有什么区别？

Answer 1

我们使用客户端证书来验证连接到我们 API 的硬件设备。就上下文而言，我们的设备在制造时配备了 SSL 证书，并且该证书由我们自行签署。当外面的设备尝试连接到我们的 API 时，我们会在 .NET API 应用程序本身内处理客户端证书验证。

这需要以下 IIS SSL 设置，以及重新绑定(bind) SSL 绑定(bind)的手动步骤(我们这样做是为了解决非常具体的技术限制)。

所以首先，在 web.config 文件中我们有这个配置:

  <security>
    <access sslFlags="Ssl" />
  </security>

如果我们添加 SslNegotiateCert 或 SslRequireCert sslFlags，那么 IIS 会在我们的应用程序代码被调用之前尝试验证客户端证书。所以我们只设置了 Ssl 标志。

其次，在IIS站点的SSL设置中我们设置:

需要 SSL [x]

客户端证书:

[x]忽略

[ ] 接受

[ ] 要求

所以本质上我们并不是要求 IIS 代表我们协商客户端证书。

我们所做的最后一个配置更改是在 SSL 绑定(bind)上启用“协商客户端证书”。默认情况下，当您在 IIS 中创建 SSL 绑定(bind)时，“协商客户端证书”属性设置为 false。

据我了解，这意味着 IIS 不会在初始 TLS 协商时协商客户端证书。当需要客户端证书时会发生什么，触发 TLS 重新协商，并且服务器会向客户端请求客户端证书。

在我们的例子中，我们的设备在初始请求时通过了客户端证书，并且不会处理 TLS 重新协商。因此，通过启用“协商客户端证书”，客户端证书可以在初始请求中传递。

所以重新绑定(bind) SSL 绑定(bind)需要一些命令行魔法来找到当前绑定(bind)，删除它，并在启用“协商客户端证书”的情况下重新添加绑定(bind)。

第 1 步 - 找到您的 SSL 绑定(bind):

在CMD终端中运行以下命令:

netsh http 显示 sslcert > sslcerts.txt

这会将您当前 SSL 绑定(bind)的所有详细信息推送到 sslcerts.txt

文件将如下所示:

SSL 证书绑定(bind):

Hostname:port                : yourhostname:443
Certificate Hash             : your_certificate_hash
Application ID               : {your_applicationID_Guid}
Certificate Store Name       : My
Verify Client Certificate Revocation : Enabled
Verify Revocation Using Cached Client Certificate Only : Disabled
Usage Check                  : Enabled
Revocation Freshness Time    : 0
URL Retrieval Timeout        : 0
Ctl Identifier               : (null)
Ctl Store Name               : (null)
DS Mapper Usage              : Disabled
Negotiate Client Certificate : Disabled

请注意，您的 sslcerts.txt 文件将包含这些绑定(bind)的许多实例。您需要为您正在使用的应用程序/网站找到正确的。

另请注意，上面的输出显示“协商客户端证书:已禁用”

第 2 步 - 删除当前绑定(bind)

运行以下命令删除当前绑定(bind)

netsh http delete sslcert 主机名端口=你的主机名:443

这将删除站点的 SSL 绑定(bind)。

第 3 步 - 在启用“协商客户端证书”的情况下重新绑定(bind) SSL

在 CMD 提示符下运行以下命令:

netsh http add sslcert hostnameport=yourhostname:443 certhash=your_certificate_hash appid={your_applicationID_Guid} certstorename=MY verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

请注意，除了设置 clientcertnegotiation=Enable 之外，您正在根据在 sslcerts.txt 中检索到的详细信息填写绑定(bind)的属性

现在我们有一个 IIS 应用程序，它将预先协商客户端证书，但不会验证它，并允许我们在代码中验证它。

然后我们使用 AuthorizationFilterAttribute 获取客户端证书并根据我们的规则对其进行验证。

public class ValidateDeviceClientCertificateAttribute : AuthorizationFilterAttribute
{
    public override void OnAuthorization(HttpActionContext actionContext)
    {
        X509Certificate2 cert = actionContext.Request.GetClientCertificate();
        // Validation rules here i.e. check Hash of the signing cert, does it match your accepted value?
    }
}

在我们的验证中，我们有一个已知的中间 CA，我们用它来签署我们的设备证书，因此我们检查以确保客户端证书是由该中间证书或至少一个我们的设备签署中间证书签署的。