目标是一个Web应用程序,它与安装在用户PC上的C#应用程序交换信息。 客户端应用程序是websocket服务器,浏览器是websocket客户端。
最后,用户浏览器中的websocket客户端通过Angular持久创建,应用程序在PC上运行并做一些事情。
使用的C#库是WebSocket-Sharp。 websocket客户端是普通的javascript。
显然,此连接仅在本地发生,因此客户端连接到localhost。 由于网站是通过HTTPS保护的,因此websocket也必须得到保护。为此,C#应用程序在启动时创建证书(实际上仅用于测试目的)。
连接不起作用,因为证书不受信任。对客户端的所有服务器检查都被禁用,但连接不会建立。
这是创建服务器的部分
_server = new WebSocketServer($"wss://localhost:4649")
{
SslConfiguration =
{
ServerCertificate = Utils.Certificate.CreateSelfSignedCert(),
ClientCertificateRequired = false,
CheckCertificateRevocation = false,
ClientCertificateValidationCallback = (sender, certificate, chain, sslPolicyErrors) => true
}
};
_server.AddWebSocketService<CommandsBehaviour>("/commands");
_server.AddWebSocketService<NotificationsBehaviour>("/notifications");
_server.Start();
这是使用BouncyCastle
创建证书的方式private static AsymmetricKeyParameter CreatePrivateKey(string subjectName = "CN=root")
{
const int keyStrength = 2048;
// Generating Random Numbers
var randomGenerator = new CryptoApiRandomGenerator();
var random = new SecureRandom(randomGenerator);
// The Certificate Generator
var certificateGenerator = new X509V3CertificateGenerator();
// Serial Number
var serialNumber = BigIntegers.CreateRandomInRange(BigInteger.One, BigInteger.ValueOf(long.MaxValue), random);
certificateGenerator.SetSerialNumber(serialNumber);
// Issuer and Subject Name
var subjectDn = new X509Name(subjectName);
var issuerDn = subjectDn;
certificateGenerator.SetIssuerDN(issuerDn);
certificateGenerator.SetSubjectDN(subjectDn);
// Valid For
var notBefore = DateTime.UtcNow.Date;
var notAfter = notBefore.AddYears(70);
certificateGenerator.SetNotBefore(notBefore);
certificateGenerator.SetNotAfter(notAfter);
// Subject Public Key
var keyGenerationParameters = new KeyGenerationParameters(random, keyStrength);
var keyPairGenerator = new RsaKeyPairGenerator();
keyPairGenerator.Init(keyGenerationParameters);
var subjectKeyPair = keyPairGenerator.GenerateKeyPair();
return subjectKeyPair.Private;
}
public static X509Certificate2 CreateSelfSignedCert(string subjectName = "CN=localhost", string issuerName = "CN=root")
{
const int keyStrength = 2048;
var issuerPrivKey = CreatePrivateKey();
// Generating Random Numbers
var randomGenerator = new CryptoApiRandomGenerator();
var random = new SecureRandom(randomGenerator);
ISignatureFactory signatureFactory = new Asn1SignatureFactory("SHA512WITHRSA", issuerPrivKey, random);
// The Certificate Generator
var certificateGenerator = new X509V3CertificateGenerator();
certificateGenerator.AddExtension(X509Extensions.SubjectAlternativeName, false, new GeneralNames(new GeneralName[] { new GeneralName(GeneralName.DnsName, "localhost"), new GeneralName(GeneralName.DnsName, "127.0.0.1") }));
certificateGenerator.AddExtension(X509Extensions.ExtendedKeyUsage, true, new ExtendedKeyUsage((new ArrayList() { new DerObjectIdentifier("1.3.6.1.5.5.7.3.1") })));
// Serial Number
var serialNumber = BigIntegers.CreateRandomInRange(BigInteger.One, BigInteger.ValueOf(Int64.MaxValue), random);
certificateGenerator.SetSerialNumber(serialNumber);
// Signature Algorithm
//const string signatureAlgorithm = "SHA512WITHRSA";
//certificateGenerator.SetSignatureAlgorithm(signatureAlgorithm);
// Issuer and Subject Name
var subjectDn = new X509Name(subjectName);
var issuerDn = new X509Name(issuerName);
certificateGenerator.SetIssuerDN(issuerDn);
certificateGenerator.SetSubjectDN(subjectDn);
// Valid For
var notBefore = DateTime.UtcNow.Date;
var notAfter = notBefore.AddYears(70);
certificateGenerator.SetNotBefore(notBefore);
certificateGenerator.SetNotAfter(notAfter);
// Subject Public Key
var keyGenerationParameters = new KeyGenerationParameters(random, keyStrength);
var keyPairGenerator = new RsaKeyPairGenerator();
keyPairGenerator.Init(keyGenerationParameters);
var subjectKeyPair = keyPairGenerator.GenerateKeyPair();
certificateGenerator.SetPublicKey(subjectKeyPair.Public);
// self sign certificate
var certificate = certificateGenerator.Generate(signatureFactory);
// corresponding private key
var info = PrivateKeyInfoFactory.CreatePrivateKeyInfo(subjectKeyPair.Private);
// merge into X509Certificate2
var x509 = new X509Certificate2(certificate.GetEncoded());
var seq = (Asn1Sequence)Asn1Object.FromByteArray(info.ParsePrivateKey().GetDerEncoded());
if (seq.Count != 9)
{
throw new PemException("malformed sequence in RSA private key");
}
var rsa = RsaPrivateKeyStructure.GetInstance(seq); //new RsaPrivateKeyStructure(seq);
var rsaparams = new RsaPrivateCrtKeyParameters(
rsa.Modulus, rsa.PublicExponent, rsa.PrivateExponent, rsa.Prime1, rsa.Prime2, rsa.Exponent1, rsa.Exponent2, rsa.Coefficient);
x509.PrivateKey = DotNetUtilities.ToRSA(rsaparams);
return x509;
}
这种行为是合乎逻辑的,尽管它很奇怪,因为证书检查不应该在本地执行。 有可能绕过这个问题吗?我已经考虑过将颁发者证书安装到可信证书,但这不是最佳解决方案。
答案 0 :(得分:5)
您是否尝试过此question的任何答案?
总而言之,您可以尝试一些选项:
使用指定的--ignore-certificate-errors参数启动Chrome。
在采用相同自签名证书的同一端口上启动HTTP服务器,浏览并接受证书,之后您应该能够使用WebSocket连接。
将Firefox network.websocket.allowInsecureFromHTTPS上的配置选项设置为true,然后使用ws://而不是wss://地址。
如果所有这些都是用于测试并且你有可能控制那种事情,那么我认为其中一个或多个应该有效。如果您需要标准的最终用户才能做到这一点,我认为您需要一个不同的解决方案。正如您所发现的那样,如果您将服务器设置为不关心证书,则客户端必须最终决定是否要接受证书,否则它将不接受连接。
答案 1 :(得分:4)
@Kdawg答案是正确的。
您无法让客户端浏览器仅接受与服务器端调整的不安全连接。接受未签名(或自签名)证书的所有行为都在客户端。
我想补充一点,在@Kdawg的答案之上,在Windows网络上,私人组织最常见的做法是:
指定Windows服务器作为证书颁发机构
使用Windows CA服务器
这听起来很痛苦,而且确实如此。
如果我是你,我会去制作一个标准的公开签名证书,并在完成之前运行SSL。
查看Let's Encrypt以获取您所在域的免费SSL证书。
答案 2 :(得分:0)
我的最终解决方案是为一个子域创建一个有效的证书,然后将A / AAAA记录更改为localhost。这样,可以通过HTTPS信任连接。