如何从客户端请求中获取 X509Certificate

【问题标题】:How to get the X509Certificate from a client request如何从客户端请求中获取 X509Certificate
【发布时间】:2011-11-23 14:45:28
【问题描述】:

我有一个使用证书保护的网络服务。 现在,我想通过查看证书指纹来识别客户端。这意味着我的服务上有一个链接到某个用户的指纹列表。

实际上,我的第一个问题(有点题外话)是:这是一个好方法还是我还应该引入一些用户名密码构造?

第二个问题是:如何获取客户端用于连接网络服务的证书,以便在服务端读取指纹。

我确实阅读了很多关于它的信息(比如这篇文章:How do I get the X509Certificate sent from the client in web service?),但找不到答案。

我没有 HTTPContext,所以这不是一个选项。在上面提到的帖子中谈到了Context.Request.ClientCertificate.Certificate,但我想他们也指的是HTTPContext。也不能将<serviceHostingEnvironment aspNetCompatibilityEnabled="true" /> 添加到 web.config 中。

【问题讨论】:

  • 那么您使用的是 WCF 和一些非 http 绑定 (tcp)?

标签: c# wcf web-services wcf-security x509certificate


【解决方案1】:

这就是我们在 web 服务的构造函数中这样做的方式:

if (OperationContext.Current.ServiceSecurityContext.AuthorizationContext.ClaimSets == null)
    throw new SecurityException ("No claimset service configured wrong");

if (OperationContext.Current.ServiceSecurityContext.AuthorizationContext.ClaimSets.Count <= 0)
    throw new SecurityException ("No claimset service configured wrong");


var cert = ((X509CertificateClaimSet) OperationContext.Current.ServiceSecurityContext.
            AuthorizationContext.ClaimSets[0]).X509Certificate;

//this contains the thumbprint
cert.Thumbprint

【讨论】:

  • 我在我的请求中设置了一个客户端证书,但在我的情况下,我正在点击第二个 if-check,ClaimSets 是一个空列表。服务配置需要做什么?
  • 我不记得很抱歉:S
【解决方案2】:

我认为这种方法没有任何问题,只要在您可以控制证书分发并确保安全存储的环境中使用此服务即可。

假设这是一个 WCF 服务,您可以使用继承自 ServiceAuthorizationManager 的类获取客户端提供的证书。像这样的东西可以完成这项工作:

public class CertificateAuthorizationManager : ServiceAuthorizationManager
{
    protected override bool CheckAccessCore(OperationContext operationContext)
    {
        if (!base.CheckAccessCore(operationContext))
        {
            return false;
        }

        string thumbprint = GetCertificateThumbprint(operationContext);

        // TODO: Check the thumbprint against your database, then return true if found, otherwise false
    }

    private string GetCertificateThumbprint(OperationContext operationContext)
    {
        foreach (var claimSet in operationContext.ServiceSecurityContext.AuthorizationContext.ClaimSets)
        {
            foreach (Claim claim in claimSet.FindClaims(ClaimTypes.Thumbprint, Rights.Identity))
            {
                string tb = BitConverter.ToString((byte[])claim.Resource);
                tb = tb.Replace("-", "");
                return tb;
            }
        }

        throw new System.Security.SecurityException("No client certificate found");
    }
}

然后您需要更改服务器上的配置以使用此授权管理器:

<system.serviceModel>

    <behaviors>
        <serviceBehaviors>
            <behavior name="MyServerBehavior">

                <serviceAuthorization serviceAuthorizationManagerType="myNamespace.CertificateAuthorizationManager, myAssembly"/>

                ...

            </behavior>
        </serviceBehaviors>
    </behaviors>

    ...

</system.serviceModel>

【讨论】:

  • 谢谢,我会试一试!一旦我弄清楚了,就会标记你的答案。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2011-03-07
  • 1970-01-01
  • 2021-11-16
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode