WebRequest \ HttpClient C#中的客户端证书身份验证失败

时间:2020-11-09 08:14:16

标签: c# ssl tls1.2 client-certificates

我们的客户通过客户端证书身份验证进行身份验证时失败。

使用IISCrypto完成了它们的Tls1.2配置。 SSL协议和TLS1.1被标记为禁用。

他们使用IISCrypto完成了他们的Cipher Suite配置。

我检查了Cipher Suite \ .net Framework版本\ OS版本\ TLS重新协商\服务器证书设置\ API网关设置\ Windows服务。 但是我没有任何结果。

然后,我尝试编写一些故障排除程序来测试通信和握手序列。 我什么都没有。

使用客户端证书发送消息时,

Curl.exeopenssl s_client可以,但是在C#中始终失败,我的代码如下:

X509Certificate2 cert = new X509Certificate2(@"C:\Communicate.pfx", "xxxxx");
HttpClient client = null;
System.Net.Http.WebRequestHandler _internalHandler = new System.Net.Http.WebRequestHandler();
_internalHandler.UseProxy = false;
_internalHandler.ClientCertificates.Add(cert);
_internalHandler.ServerCertificateValidationCallback = ((obj, x509, chain, policyError) =>
{
     return true;
});
client = new HttpClient(_internalHandler);
client.BaseAddress = new Uri(string.Format("https://{0}:{1}/", args[0], int.Parse(args[1])));

===============================更新============== ======== 我试图编写一个TCP请求程序进行测试。成功了看来HttpClient\WebRequestSslStream之间的客户端证书选择处理程序有所不同。

X509Certificate2 cert = new X509Certificate2(@"C:\Communicate.pfx", "xxxxxxxx");
            X509Certificate2Collection col = new X509Certificate2Collection();
            col.Add(cert);
            TcpClient client = new TcpClient(args[0], int.Parse(args[1]));
            Stream stream = client.GetStream();
            SslStream ssl = new SslStream(stream, false, new RemoteCertificateValidationCallback((a, b, c, d) =>
            {
                return true;
            }), 
            new LocalCertificateSelectionCallback((sender, targetHost, localCertificates, remoteCertificate, acceptableIssuers)=>
            {
                return cert;
            }));
            ssl.AuthenticateAsClient("1.1.1.1", col, System.Security.Authentication.SslProtocols.Tls12, false);
            
            string x = "GET /api/TimebasedProxy/ HTTP/1.1\r\n";
            x += "Host:1.1.1.1\r\n";
            x += "Content-Type: application/json\r\n";
            x += "Connection: Close\r\n\r\n";
            byte[] xs = Encoding.UTF8.GetBytes(x);
            ssl.Write(xs, 0, xs.Length);

================更新============

我有原因: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\SendTrustedIssuerList在服务器端设置为1。 (https://docs.microsoft.com/en-us/windows-server/security/tls/tls-registry-settings#sendtrustedissuerlist

但是客户在Windows Server 2012R2下运行其服务器,谁将SendTrustedIssuerList设置为1? =========================更新============= IISCrypto做到了。 无论您使用IISCrypto做什么,IISCrypto始终会将SendTrustedIssuerList设置为1。 这是一个错误。

1 个答案:

答案 0 :(得分:0)

我有原因: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\SendTrustedIssuerList在服务器端设置为1。 (https://docs.microsoft.com/en-us/windows-server/security/tls/tls-registry-settings#sendtrustedissuerlist

但是客户正在Windows Server 2012R2下运行其服务器,谁将SendTrustedIssuerList设置为1?

IISCrypto做到了。 无论您使用IISCrypto做什么,IISCrypto始终会将SendTrustedIssuerList设置为1。 这是一个错误。

相关问题
最新问题