我有一个基于Azure的.NET Web应用程序,我们正在尝试连接到客户端的本地ADFS环境。我们可以通过Azure混合连接访问资源,但是当我们尝试从ADFS获取身份验证标头时,会出现证书错误。
进行一些挖掘之后,我们发现他们没有使用来自受信任的根CA的证书,而是使用了自签名证书。客户端已向我们发送了其根CA(以及中间体)证书,并要求我们让我们的Azure应用程序信任这些证书。
1)这可能吗?
2)这样做是否有安全隐患?
我找到了有关向您的应用程序服务中添加证书的文档,但我认为这不会“信任”由其根CA证书签名的任何证书,而是仅信任该证书本身。 https://docs.microsoft.com/en-us/azure/app-service/app-service-web-ssl-cert-load
我还发现了这个问题,该问题是从2015年开始的,并且很好奇这个答案是否从那时起发生了变化。 How can I trust an Active Directory Root CA Certificate in an Azure Web Application?
以及当前尝试连接到其ADFS时遇到的实际错误:
System.Net信息:0:[13800] SecureChannel#55196503-远程 证书有错误:
System.Net信息:0:[13800] SecureChannel#55196503-A 证书链无法建立到受信任的根权限。
System.Net信息:0:[13800] SecureChannel#55196503-远程 证书已被用户验证为无效。
System.Net错误:0:[13800] HttpWebRequest#44115416中的异常::- 基础连接已关闭:无法建立信任 SSL / TLS安全通道的关系。
答案 0 :(得分:1)
否,仍然无法使用自签名证书。由于安全隐患,要求没有改变。
从MS文档参考,这是您的SSL证书的要求:
要在App Service中使用证书,该证书必须满足以下所有要求: