显然我在之前的帖子中提出了错误的问题。我有一个使用X.509证书保护的Web服务,作为安全的网站运行(https://..。)。我想使用公司的根CA颁发的客户端机器证书(也是X.509)来验证客户端机器是否有权使用该服务。为了做到这一点,我需要检查证书并寻找一些识别功能,并将其与存储在数据库中的值(可能是指纹?)相匹配。
以下是我用来从本地证书商店获取证书的代码(直接从http://msdn.microsoft.com/en-us/magazine/cc163454.aspx解除):
public static class SecurityCertificate
{
private static X509Certificate2 _certificate = null;
public static X509Certificate2 Certificate
{
get { return _certificate; }
}
public static bool LoadCertificate()
{
// get thumbprint from app.config
string thumbPrint = Properties.Settings.Default.Thumbprint;
if ( string.IsNullOrEmpty( thumbPrint ) )
{
// if no thumbprint on file, user must select certificate to use
_certificate = PickCertificate( StoreLocation.LocalMachine, StoreName.My );
if ( null != _certificate )
{
// show certificate details dialog
X509Certificate2UI.DisplayCertificate( _certificate );
Properties.Settings.Default.Thumbprint = _certificate.Thumbprint;
Properties.Settings.Default.Save();
}
}
else
{
_certificate = FindCertificate( StoreLocation.LocalMachine, StoreName.My, X509FindType.FindByThumbprint, thumbPrint );
}
if ( null == _certificate )
{
MessageBox.Show( "You must have a valid machine certificate to use STS." );
return false;
}
return true;
}
private static X509Certificate2 PickCertificate( StoreLocation location, StoreName name )
{
X509Store store = new X509Store( name, location );
try
{
// create and open store for read-only access
store.Open( OpenFlags.ReadOnly );
X509Certificate2Collection coll = store.Certificates.Find( X509FindType.FindByIssuerName, STSClientConstants.NBCCA, true );
if ( 0 == coll.Count )
{
MessageBox.Show( "No valid machine certificate found - please contact tech support." );
return null;
}
// pick a certificate from the store
coll = null;
while ( null == coll || 0 == coll.Count )
{
coll = X509Certificate2UI.SelectFromCollection(
store.Certificates, "Local Machine Certificates",
"Select one", X509SelectionFlag.SingleSelection );
}
// return first certificate found
return coll[ 0 ];
}
// always close the store
finally { store.Close(); }
}
private static X509Certificate2 FindCertificate( StoreLocation location, StoreName name, X509FindType findType, string findValue )
{
X509Store store = new X509Store( name, location );
try
{
// create and open store for read-only access
store.Open( OpenFlags.ReadOnly );
// search store
X509Certificate2Collection col = store.Certificates.Find( findType, findValue, true );
// return first certificate found
return col[ 0 ];
}
// always close the store
finally { store.Close(); }
}
然后,我将证书附加到出站流:
public static class ServiceDataAccess
{
private static STSWebService _stsWebService = new STSWebService();
public static DataSet GetData(Dictionary<string,string> DictParam, string action)
{
// add the machine certificate here, the first web service call made by the program (only called once)
_stsWebService.ClientCertificates.Add( SecurityCertificate.Certificate );
// rest of web service call here...
}
}
我的问题是 - 如何在网络服务代码中“获取”证书?我遇到的大多数示例代码片段都涵盖了如何进行自定义验证,其中有一个GetCertificate()调用,显然假设该部分非常简单,每个人都应该知道该怎么做?
我的主类继承自WebService,因此我可以使用Context.Request.ClientCertificate来获取证书,但这是一个HttpClientCertificate,而不是X509Certificate2。 HttpContext给了我相同的结果。其他方法都使用Web配置代码来调用预定义的验证代码,而不知道如何调用自定义C#方法来进行验证。
答案 0 :(得分:13)
我记得做过类似的事情,已经有一段时间但是,你在网络服务中试过这个:
X509Certificate2 cert = new X509Certificate2(Context.Request.ClientCertificate.Certificate);
答案 1 :(得分:1)
关于如何将证书绑定回用户的主题,假设与密钥关联的用户的身份是好的(因为证书已经被验证回到受信任的根并且尚未被撤销)那么你需要将证书声明的身份与用户联系起来。您可以使用主题DN的LDAP字符串形式并查看(cn = Username,ou = Department ...)以确定本地ID。在用户重新生成其密钥/证书的情况下,由于卡丢失或证书的自然到期,这是弹性的。这取决于两个CA不会向两个不同的人发布具有相同主题名称的两个证书。
如果证书是由MS CA颁发的,那么它可能有一个UPN,它实际上是一个域登录名。
或者,如果您想将用户的身份与实际证书绑定,通常的方法是存储颁发者名称和证书序列号。 CA必须为每个证书颁发唯一的序列号。注意序列号可能很大,具体取决于CA.但是,使用此方法并不意味着每次重新发布用户证书时都必须更新数据库中的证书详细信息。