Двухсторонняя аутентификация с помощью HTTPClient

Я пытаюсь сделать HTTP-запросы на сервер, для которого требуется двухстороннее SSL-соединение (аутентификация клиента). У меня есть файл .p12, содержащий несколько сертификатов и пароль. Запрос сериализуется с использованием буфера протоколов.

Моя первая мысль заключалась в том, чтобы добавить хранилище ключей к свойствам ClientCertificate WebRequestHandler, используемым HttpClient. Я также добавил хранилище ключей для своих доверенных корневых центров сертификации на своем компьютере.

Когда PostAsync выполняется, я всегда получаю "не могу создать безопасный канал ssl/tls". Очевидно, что-то, что я делаю неправильно, но я немного потерял здесь.

Любые указатели будут оценены.

    public void SendRequest()
    {
        try
        {
            ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls;

            var handler = new WebRequestHandler();

            // Certificate is located in bin/debug folder
            var certificate = new X509Certificate2Collection();
            certificate.Import("MY_KEYSTORE.p12", "PASSWORD", X509KeyStorageFlags.DefaultKeySet);

            handler.ClientCertificates.AddRange(certificate);
            handler.ServerCertificateValidationCallback = ValidateServerCertificate;

            var client = new HttpClient(handler)
            {
                BaseAddress = new Uri("SERVER_URL")
            };
            client.DefaultRequestHeaders.Add("Accept", "application/x-protobuf");
            client.DefaultRequestHeaders.TryAddWithoutValidation("Content-Type", "application/x-protobuf");
            client.Timeout = new TimeSpan(0, 5, 0);

            // Serialize protocol buffer payload
            byte[] protoRequest;
            using (var ms = new MemoryStream())
            {
                Serializer.Serialize(ms, MyPayloadObject());
                protoRequest = ms.ToArray();
            }

            var result = await client.PostAsync("/resource", new ByteArrayContent(protoRequest));

            if (!result.IsSuccessStatusCode)
            {
                var stringContent = result.Content.ReadAsStringAsync().Result;
                if (stringContent != null)
                {
                    Console.WriteLine("Request Content: " + stringContent);
                }
            }
        }
        catch (Exception ex)
        {
            Console.WriteLine(ex.Message);
            throw;
        }
   }

        private bool ValidateServerCertificate(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
        {
            if (sslPolicyErrors == SslPolicyErrors.None)
                return true;

            Console.WriteLine("Certificate error: {0}", sslPolicyErrors);

            // Do not allow this client to communicate with unauthenticated servers.
            return false;
        }

ИЗМЕНИТЬ

Я даже не врывался в ValidateServerCertificate. Исключение вызывается, как только вызывается PostAsync. Протокол определенно TLS v1.

Клиентская ОС - Windows 8.1. Сервер закодирован в Java (не уверен, в какой ОС он работает. У меня нет доступа к нему. Это черный ящик.)

StackTrace

в System.Net.HttpWebRequest.EndGetRequestStream(IAsyncResult asyncResult, TransportContext & context)  в System.Net.Http.HttpClientHandler.GetRequestStreamCallback(IAsyncResult ar)

Нет внутреннего исключения.

ОТВЕТЫ

Ответ 1

Вы пытались изменить security protocol на Ssl3? В любом случае вам нужно установить свойство Expect в значение true. Он исправит вашу ошибку. Далее вы можете изучить эту ссылку, чтобы получить больше знаний о передаче сертификата клиента для аутентификации.

public void SendRequest()
{
    try
    {
        ServicePointManager.Expect100Continue = true;
        ServicePointManager.SecurityProtocol = SecurityProtocolType.Ssl3;

        var handler = new WebRequestHandler();
        .....
    }
    ..
}

Ответ 2

Я пытался проверить протокол безопасности, используемый, когда я столкнулся с этим сообщением. Я обнаружил, что я делаю ошибку до ValidateServerCertificate, когда я использовал неверный протокол безопасности. (IIS 7.x по умолчанию используется SSL3.) Чтобы охватить все ваши базы для используемого протокола, вы можете определить все.   System.Net.ServicePointManager.SecurityProtocol = System.Net.SecurityProtocolType.Tls12 | System.Net.SecurityProtocolType.Tls11 | System.Net.SecurityProtocolType.Tls | System.Net.SecurityProtocolType.Ssl3;

Ответ 3

Я думаю, что это то, что вам нужно: Пример асинхронной реализации клиента/сервера SslStream

using System;
using System.IO;
using System.Net;
using System.Threading;
using System.Net.Sockets;
using System.Security.Cryptography;
using System.Security.Cryptography.X509Certificates;
using System.Net.Security;


class Program
{
    static void Main(string[] args)
    {
        SecureTcpServer server = null;
        SecureTcpClient client = null;

        try
        {
            int port = 8889;

            RemoteCertificateValidationCallback certValidationCallback = null;
            certValidationCallback = new RemoteCertificateValidationCallback(IgnoreCertificateErrorsCallback);

            string certPath = System.Reflection.Assembly.GetEntryAssembly().Location;
            certPath = Path.GetDirectoryName(certPath);
            certPath = Path.Combine(certPath, "serverCert.cer");
            Console.WriteLine("Loading Server Cert From: " + certPath);
            X509Certificate serverCert = X509Certificate.CreateFromCertFile(certPath);

            server = new SecureTcpServer(port, serverCert,
                new SecureConnectionResultsCallback(OnServerConnectionAvailable));

            server.StartListening();

            client = new SecureTcpClient(new SecureConnectionResultsCallback(OnClientConnectionAvailable),
                certValidationCallback);

            client.StartConnecting("localhost", new IPEndPoint(IPAddress.Loopback, port));
        }
        catch (Exception ex)
        {
            Console.WriteLine(ex);               
        }

        //sleep to avoid printing this text until after the callbacks have been invoked.
        Thread.Sleep(4000);
        Console.WriteLine("Press any key to continue...");
        Console.ReadKey();

        if (server != null)
            server.Dispose();
        if (client != null)
            client.Dispose();

    }

    static void OnServerConnectionAvailable(object sender, SecureConnectionResults args)
    {
        if (args.AsyncException != null)
        {
            Console.WriteLine(args.AsyncException);
            return;
        }

        SslStream stream = args.SecureStream;

        Console.WriteLine("Server Connection secured: " + stream.IsAuthenticated);



        StreamWriter writer = new StreamWriter(stream);
        writer.AutoFlush = true;

        writer.WriteLine("Hello from server!");

        StreamReader reader = new StreamReader(stream);
        string line = reader.ReadLine();
        Console.WriteLine("Server Recieved: '{0}'", line == null ? "<NULL>" : line);

        writer.Close();
        reader.Close();
        stream.Close();
    }

    static void OnClientConnectionAvailable(object sender, SecureConnectionResults args)
    {
        if (args.AsyncException != null)
        {
            Console.WriteLine(args.AsyncException);
            return;
        }
        SslStream stream = args.SecureStream;

        Console.WriteLine("Client Connection secured: " + stream.IsAuthenticated);

        StreamWriter writer = new StreamWriter(stream);
        writer.AutoFlush = true;

        writer.WriteLine("Hello from client!");

        StreamReader reader = new StreamReader(stream);
        string line = reader.ReadLine();
        Console.WriteLine("Client Recieved: '{0}'", line == null ? "<NULL>" : line);

        writer.Close();
        reader.Close();
        stream.Close();
    }

    static bool IgnoreCertificateErrorsCallback(object sender,
        X509Certificate certificate,
        X509Chain chain,
        SslPolicyErrors sslPolicyErrors)
    {
        if (sslPolicyErrors != SslPolicyErrors.None)
        {

            Console.WriteLine("IgnoreCertificateErrorsCallback: {0}", sslPolicyErrors);
            //you should implement different logic here...

            if ((sslPolicyErrors & SslPolicyErrors.RemoteCertificateChainErrors) != 0)
            {
                foreach (X509ChainStatus chainStatus in chain.ChainStatus)
                {
                    Console.WriteLine("\t" + chainStatus.Status);
                }
            }
        }

        //returning true tells the SslStream object you don't care about any errors.
        return true;
    }
}

Ответ 4

Вы пробовали следующий код?

ServicePointManager.ServerCertificateValidationCallback = ((sender, certificate, chain, sslPolicyErrors) => true);

Пожалуйста, перед вашей строкой кода

handler.ClientCertificates.AddRange(certificate);

Ответ 5

Я использую ту же базу кода, что и вы, но вместо

certificate.Import("MY_KEYSTORE.p12", "PASSWORD", X509KeyStorageFlags.DefaultKeySet);

Я использую X509KeyStorageFlags.UserKeySet

Также я установил корневой сертификат в CurrentUser/CA и работает для меня.