使用HTTPClient进行双向身份验证

Question

我正在尝试对需要双向SSL连接（客户端身份验证）的服务器进行HTTP调用。我有一个包含多个证书和密码的.p12文件。请求使用协议缓冲区序列化。

我的第一个想法是将密钥库添加到HttpClient使用的WebRequestHandler的ClientCertificate属性中。我还在我的计算机上将密钥库添加到我信任的根证书颁发机构。

我总是得到一个＆＃34;无法创建ssl / tls安全通道＆＃34;何时执行PostAsync。显然我做错了但我在这里有点不知所措。

任何指针都会受到赞赏。

    public void SendRequest()
    {
        try
        {
            ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls;

            var handler = new WebRequestHandler();

            // Certificate is located in bin/debug folder
            var certificate = new X509Certificate2Collection();
            certificate.Import("MY_KEYSTORE.p12", "PASSWORD", X509KeyStorageFlags.DefaultKeySet);

            handler.ClientCertificates.AddRange(certificate);
            handler.ServerCertificateValidationCallback = ValidateServerCertificate;

            var client = new HttpClient(handler)
            {
                BaseAddress = new Uri("SERVER_URL")
            };
            client.DefaultRequestHeaders.Add("Accept", "application/x-protobuf");
            client.DefaultRequestHeaders.TryAddWithoutValidation("Content-Type", "application/x-protobuf");
            client.Timeout = new TimeSpan(0, 5, 0);

            // Serialize protocol buffer payload
            byte[] protoRequest;
            using (var ms = new MemoryStream())
            {
                Serializer.Serialize(ms, MyPayloadObject());
                protoRequest = ms.ToArray();
            }

            var result = await client.PostAsync("/resource", new ByteArrayContent(protoRequest));

            if (!result.IsSuccessStatusCode)
            {
                var stringContent = result.Content.ReadAsStringAsync().Result;
                if (stringContent != null)
                {
                    Console.WriteLine("Request Content: " + stringContent);
                }
            }
        }
        catch (Exception ex)
        {
            Console.WriteLine(ex.Message);
            throw;
        }
   }

        private bool ValidateServerCertificate(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
        {
            if (sslPolicyErrors == SslPolicyErrors.None)
                return true;

            Console.WriteLine("Certificate error: {0}", sslPolicyErrors);

            // Do not allow this client to communicate with unauthenticated servers.
            return false;
        }

修改

我甚至没有进入ValidateServerCertificate。调用PostAsync后立即抛出异常。协议绝对是TLS v1。

客户端操作系统是Windows 8.1。服务器是用Java编写的（不确定它在哪个操作系统上运行。我无法访问它。它是一个黑盒子。）

堆栈跟踪

at System.Net.HttpWebRequest.EndGetRequestStream（IAsyncResult asyncResult，TransportContext＆amp; context）    在System.Net.Http.HttpClientHandler.GetRequestStreamCallback（IAsyncResult ar）

没有内在的例外。

Answer 1

您是否尝试将security protocol更改为Ssl3？无论哪种情况，您都需要将Expect属性设置为true。它会修复你的错误。此外，您可以浏览this link以获取有关传递客户端证书以进行身份​​验证的更多信息。

public void SendRequest()
{
    try
    {
        ServicePointManager.Expect100Continue = true;
        ServicePointManager.SecurityProtocol = SecurityProtocolType.Ssl3;

        var handler = new WebRequestHandler();
        .....
    }
    ..
}

Answer 2

当我遇到这篇文章时，我试图验证正在使用的安全协议。我发现当我使用不正确的安全协议时，我在ValidateServerCertificate之前抛出一个错误。 （IIS 7.x默认为SSL3。）要涵盖要使用的协议的所有基础，您可以定义所有。     System.Net.ServicePointManager.SecurityProtocol = System.Net.SecurityProtocolType.Tls12 | System.Net.SecurityProtocolType.Tls11 | System.Net.SecurityProtocolType.Tls | System.Net.SecurityProtocolType.Ssl3;

Answer 3

我认为这是你需要的： Sample Asynchronous SslStream Client/Server Implementation

{{1}}

Answer 4

我使用与您相同的代码库，而不是使用

certificate.Import("MY_KEYSTORE.p12", "PASSWORD", X509KeyStorageFlags.DefaultKeySet);

我正在使用X509KeyStorageFlags.UserKeySet

我也已经将根证书安装到CurrentUser / CA并且正在为我工​​作。

Answer 5

您是否尝试过以下代码？

ServicePointManager.ServerCertificateValidationCallback = ((sender, certificate, chain, sslPolicyErrors) => true);

请在您的代码行之前

handler.ClientCertificates.AddRange(certificate);