如何验证LDAP + SSL连接的服务器SSL证书

时间:2016-12-07 08:40:43

标签: c# security ssl active-directory ldap

我们的应用程序适用于Active Directory用户和组。我们在端口389上使用LDAP进行Active Directory操作。现在,我们的一个客户希望我们添加一个使用LDAP + SSL进行Active Directory通信的选项。

他们告诉我们,他们在自己的域上安装了本地CA,并使用自签名证书进行LDAPS。他们还告诉我们他们将提供证书,不需要相互信任,我们应该使用Windows证书存储。

我已经为LDAP + SSL操作开发了一个测试应用程序,并看到该服务器在客户端启动LDAP + SSL连接时发送其证书。我只能通过从服务器证书验证方法返回true来建立连接。

问题是; - 客户应该向我们提供哪种证书(root,用于LDAP + SSL的证书......)

.Net环境下使用证书的格式应该是什么?

连接服务器时如何验证服务器的证书?

“我们应该使用Windows证书存储”是什么意思?他们是否希望我们将服务器的证书自动添加到本地计算机的可信证书存储区?

我用于LDAP + SSL连接的示例代码,

LdapConnection _connection = new LdapConnection(new LdapDirectoryIdentifier(m_DomainName, m_PortNo));
_connection.Timeout = TimeSpan.FromMinutes(10);
_connection.AuthType = AuthType.Basic;
_connection.Credential = new NetworkCredential(m_UserName, m_Password);

_connection.SessionOptions.ProtocolVersion = 3;
_connection.SessionOptions.SecureSocketLayer = true; 

_connection.SessionOptions.VerifyServerCertificate = (ldapCon, serverCertificate) =>
{
   //TODO: Verify server certificate
   return true;
};
_connection.SessionOptions.QueryClientCertificate = (con, trustedCAs) => null;

_connection.Bind();

2 个答案:

答案 0 :(得分:4)

客户应该向我们提供哪种证书(root,用于LDAP + SSL的证书......)

签署LDAP服务器证书的根证书。他们也可以提前给你整个链,但无论如何都会在TLS握手期间发送。您只需要提前获得根证书。

.Net环境下使用证书的格式应该是什么?

您可以导入certmgr.msc的任何内容。 Pfx是Windows上的常用选择。

连接服务器时如何验证服务器的证书?

您不应该自己编写验证。证书验证是一项棘手的业务,它已经为您完成了。使用内置的东西(见下文)。

“我们应该使用Windows证书存储”是什么意思?他们是否希望我们将服务器的证书自动添加到本地计算机的可信证书存储区?

是。他们向您发送用于签署ldap服务器证书的根证书,然后您可以将其作为受信任的根导入。完成此操作后,您无需进行任何手动验证,只需使用有效的证书即可工作,并且无法使用无效的证书。

请注意,一旦您将其根证书添加为受信任,他们就可以为其安装根目录的客户端伪造任何服务器证书,并且他们签署的任何内容都将被视为在该客户端上有效。

奖励:添加半自定义验证和调试证书错误

您可能遇到的一个问题是错误消息不是很有帮助。如果无法验证证书,您将收到一条非常一般的错误消息,该消息没有提示实际问题。您可能还想出于其他原因挂钩验证过程。

为此,您可以定义自己的验证:

private bool VerifyServerCertificate(LdapConnection ldapConnection, X509Certificate certificate)
{
    X509Certificate2 certificate2 = new X509Certificate2( certificate );
    return certificate2.Verify();
}

然后将其添加到ldap连接:

_connection.SessionOptions.VerifyServerCertificate = 
    new VerifyServerCertificateCallback( VerifyServerCertificate );

通过这种方式,您可以捕获Verify()等异常。但同样,如果证书有效(可由客户验证),则不是严格需要,无论如何都是自动完成的。如果你想要一些没有实现的东西,你只需要这样,例如你可以在VerifyServerCertificate中返回true以接受任何证书,包括无效的证书(这将是一个坏主意并制作一个安全连接没用,但可能适合调试等。)

您可以在此方法中实现的另一件事是certificate pinning以获得额外的安全性,但这超出了此答案的范围。

答案 1 :(得分:1)

BTW:自2000年5月引入LDAP v3的StartTLS扩展操作(RFC 2830)以来,不推荐使用LDAPS(针对LDAP v2制作)。

相关问题
最新问题