我们使用客户端证书来验证连接到我们API的硬件设备。为了方便理解,我们的设备在制造过程中预装有SSL证书,并由我们自签名。当一个设备试图通过网络连接到我们的API时,我们在.NET API应用程序中处理客户端证书验证。
这需要以下IIS SSL设置,以及重新绑定SSL绑定的手动步骤(我们出于特定技术限制而执行此操作)。
首先,在web.config文件中,我们拥有以下配置:
<security>
<access sslFlags="Ssl" />
</security>
如果我们添加SslNegotiateCert或SslRequireCert ssl标志,则在调用我们的应用程序代码之前,IIS会尝试验证客户端证书。因此,我们仅设置Ssl标志。
其次,在IIS站点的SSL设置中,我们设置:
要求SSL [x]
客户端证书:
[x] 忽略
[ ] 接受
[ ] 要求
因此,实质上我们并没有要求IIS代表我们协商客户端证书。
我们进行的最后一个配置更改是在SSL绑定上启用“Negotiate Client Certificate”。默认情况下,当您在IIS中创建SSL绑定时,“Negotiate Client Certificate”属性设置为false。
据我所知,这意味着IIS不会在初始TLS协商中协商客户端证书。当需要客户端证书时,将触发TLS重新协商,并且服务器将从客户端请求客户端证书。
在我们的情况下,我们的设备在初始请求中通过客户端证书传递,并且不会处理TLS重新协商。因此,通过启用“Negotiate Client Certificate”,客户端证书可以在初始请求中传递。
因此,重新绑定SSL绑定需要一些命令行技巧来查找当前绑定,删除它,并重新添加带有“Negotiate Client Certificate”已启用的绑定。
步骤1-查找SSL绑定:
在CMD终端中运行以下命令:
netsh http show sslcert > sslcerts.txt
这将将当前SSL绑定的所有详细信息推送到sslcerts.txt中。
该文件看起来像以下内容:
SSL证书绑定:
Hostname:port : yourhostname:443
Certificate Hash : your_certificate_hash
Application ID : {your_applicationID_Guid}
Certificate Store Name : My
Verify Client Certificate Revocation : Enabled
Verify Revocation Using Cached Client Certificate Only : Disabled
Usage Check : Enabled
Revocation Freshness Time : 0
URL Retrieval Timeout : 0
Ctl Identifier : (null)
Ctl Store Name : (null)
DS Mapper Usage : Disabled
Negotiate Client Certificate : Disabled
注意,你的sslcerts.txt文件中将包含许多这些绑定实例。你需要找到适用于你正在使用的应用程序/站点的正确实例。
请注意上面的输出显示“Negotiate Client Certificate: Disabled”
第二步 - 删除当前的绑定
运行以下命令以删除当前绑定:
netsh http delete sslcert hostnameport=yourhostname:443
这将删除该站点的SSL绑定。
第三步 - 重新绑定启用“Negotiate Client Certificate”的SSL
在CMD提示符下运行以下命令:
netsh http add sslcert hostnameport=yourhostname:443 certhash=your_certificate_hash appid={your_applicationID_Guid} certstorename=MY verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable
请注意,您在此处填写绑定的属性详细信息,除了设置clientcertnegotiation=Enable。
现在我们有一个IIS应用程序,它将预先协商客户端证书,但不会验证它,并允许我们在代码中对其进行验证。
然后,我们使用AuthorizationFilterAttribute来获取客户端证书并根据我们的规则进行验证。
public class ValidateDeviceClientCertificateAttribute : AuthorizationFilterAttribute
{
public override void OnAuthorization(HttpActionContext actionContext)
{
X509Certificate2 cert = actionContext.Request.GetClientCertificate();
}
}
在我们的验证中,我们有一个已知的中间CA,用于签署我们的设备证书,因此我们检查以确保客户端证书是由该中间证书签名的,或者至少是我们设备签名中间证书之一签名的。