在 IIS 10 中为 Asp.net 网站禁用客户端证书验证，但允许应用程序请求传入的客户端证书。

Question

在 IIS 10 中为 Asp.net 网站禁用客户端证书验证，但允许应用程序请求传入的客户端证书。

asp.netclient-certificatesiis-10self-signed-certificate

4

我有一个Asp.net API网站，它进行自定义客户端证书验证。当我在IIS 10上托管此网站时，当我调用我的API时，从失败的请求日志中得到以下信息：

处理了证书链，但终止于根证书，该证书未被信任的信任提供程序信任。

我的web.config文件如下：

<configuration>
    <system.webServer>
        <access sslFlags="Ssl, SslRequireCert" /> 
    </system.webServer>

在applicationHost.config文件中，我有如下内容：

<section name="access" overrideModeDefault="Allow" />

我错过了什么？如何配置IIS只通过证书而不验证它？

我想这样做的原因是，这是一个测试环境，我想信任所有调用我的API的客户端及其自签名的证书。我将在我的API内部验证证书。

注意：我在Azure AppService上托管了相同的网站，并设置了"Incoming client certificates"为ON。运行良好。那么当我在我的机器IIS上托管它时有什么区别呢？

- Tany

https://learn.microsoft.com/en-us/dotnet/framework/wcf/feature-details/how-to-create-temporary-certificates-for-use-during-development#installing-a-certificate-in-the-trusted-root-certification-authorities-store - Lex Li

你是在建议我生成一个自签名的根证书，并要求所有客户通过使用此根证书进行签名来生成他们的证书吗？ - Tany

@Tany，你找到解决方案了吗？我们也遇到了同样的问题。 - osman katib

@Tany，我的理解是您想要在浏览器中要求SSL以确保安全，但不希望IIS验证证书并在内部处理X509。如果是这样，您是否成功实现了这一点？ - ist_lion

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- PaulAdvancedUk · Accepted Answer

我们使用客户端证书来验证连接到我们API的硬件设备。为了方便理解，我们的设备在制造过程中预装有SSL证书，并由我们自签名。当一个设备试图通过网络连接到我们的API时，我们在.NET API应用程序中处理客户端证书验证。

这需要以下IIS SSL设置，以及重新绑定SSL绑定的手动步骤（我们出于特定技术限制而执行此操作）。

首先，在web.config文件中，我们拥有以下配置：

  <security>
    <access sslFlags="Ssl" />
  </security>

如果我们添加SslNegotiateCert或SslRequireCert ssl标志，则在调用我们的应用程序代码之前，IIS会尝试验证客户端证书。因此，我们仅设置Ssl标志。

其次，在IIS站点的SSL设置中，我们设置：

要求SSL [x]

客户端证书：

[x] 忽略

[ ] 接受

[ ] 要求

因此，实质上我们并没有要求IIS代表我们协商客户端证书。

我们进行的最后一个配置更改是在SSL绑定上启用“Negotiate Client Certificate”。默认情况下，当您在IIS中创建SSL绑定时，“Negotiate Client Certificate”属性设置为false。

据我所知，这意味着IIS不会在初始TLS协商中协商客户端证书。当需要客户端证书时，将触发TLS重新协商，并且服务器将从客户端请求客户端证书。

在我们的情况下，我们的设备在初始请求中通过客户端证书传递，并且不会处理TLS重新协商。因此，通过启用“Negotiate Client Certificate”，客户端证书可以在初始请求中传递。

因此，重新绑定SSL绑定需要一些命令行技巧来查找当前绑定，删除它，并重新添加带有“Negotiate Client Certificate”已启用的绑定。

步骤1-查找SSL绑定：

在CMD终端中运行以下命令：

netsh http show sslcert > sslcerts.txt

这将将当前SSL绑定的所有详细信息推送到sslcerts.txt中。

该文件看起来像以下内容：

SSL证书绑定：

Hostname:port                : yourhostname:443
Certificate Hash             : your_certificate_hash
Application ID               : {your_applicationID_Guid}
Certificate Store Name       : My
Verify Client Certificate Revocation : Enabled
Verify Revocation Using Cached Client Certificate Only : Disabled
Usage Check                  : Enabled
Revocation Freshness Time    : 0
URL Retrieval Timeout        : 0
Ctl Identifier               : (null)
Ctl Store Name               : (null)
DS Mapper Usage              : Disabled
Negotiate Client Certificate : Disabled

注意，你的sslcerts.txt文件中将包含许多这些绑定实例。你需要找到适用于你正在使用的应用程序/站点的正确实例。

请注意上面的输出显示“Negotiate Client Certificate: Disabled”

第二步 - 删除当前的绑定

运行以下命令以删除当前绑定：

netsh http delete sslcert hostnameport=yourhostname:443

这将删除该站点的SSL绑定。

第三步 - 重新绑定启用“Negotiate Client Certificate”的SSL

在CMD提示符下运行以下命令：

netsh http add sslcert hostnameport=yourhostname:443 certhash=your_certificate_hash appid={your_applicationID_Guid} certstorename=MY verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable 请注意，您在此处填写绑定的属性详细信息，除了设置clientcertnegotiation=Enable。

现在我们有一个IIS应用程序，它将预先协商客户端证书，但不会验证它，并允许我们在代码中对其进行验证。

然后，我们使用AuthorizationFilterAttribute来获取客户端证书并根据我们的规则进行验证。

public class ValidateDeviceClientCertificateAttribute : AuthorizationFilterAttribute
{
    public override void OnAuthorization(HttpActionContext actionContext)
    {
        X509Certificate2 cert = actionContext.Request.GetClientCertificate();
        // Validation rules here i.e. check Hash of the signing cert, does it match your accepted value?
    }
}

在我们的验证中，我们有一个已知的中间CA，用于签署我们的设备证书，因此我们检查以确保客户端证书是由该中间证书签名的，或者至少是我们设备签名中间证书之一签名的。