C# 使用HTTPClient进行双向身份验证
我试图对需要双向SSL连接(客户端身份验证)的服务器进行HTTP调用。我有一个.p12文件,其中包含多个证书和密码。使用协议缓冲区序列化请求 我的第一个想法是将密钥库添加到HttpClient使用的WebRequestHandler的ClientCertificate属性中。我还将密钥库添加到我计算机上的受信任根证书颁发机构 在执行PostAsync时,我总是得到一个“无法创建ssl/tls安全通道”。很明显我做错了什么,但我在这里有点不知所措 任何指点都将不胜感激C# 使用HTTPClient进行双向身份验证,c#,authentication,ssl,ssl-certificate,httpclient,C#,Authentication,Ssl,Ssl Certificate,Httpclient,我试图对需要双向SSL连接(客户端身份验证)的服务器进行HTTP调用。我有一个.p12文件,其中包含多个证书和密码。使用协议缓冲区序列化请求 我的第一个想法是将密钥库添加到HttpClient使用的WebRequestHandler的ClientCertificate属性中。我还将密钥库添加到我计算机上的受信任根证书颁发机构 在执行PostAsync时,我总是得到一个“无法创建ssl/tls安全通道”。很明显我做错了什么,但我在这里有点不知所措 任何指点都将不胜感激 public voi
public void SendRequest()
{
try
{
ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls;
var handler = new WebRequestHandler();
// Certificate is located in bin/debug folder
var certificate = new X509Certificate2Collection();
certificate.Import("MY_KEYSTORE.p12", "PASSWORD", X509KeyStorageFlags.DefaultKeySet);
handler.ClientCertificates.AddRange(certificate);
handler.ServerCertificateValidationCallback = ValidateServerCertificate;
var client = new HttpClient(handler)
{
BaseAddress = new Uri("SERVER_URL")
};
client.DefaultRequestHeaders.Add("Accept", "application/x-protobuf");
client.DefaultRequestHeaders.TryAddWithoutValidation("Content-Type", "application/x-protobuf");
client.Timeout = new TimeSpan(0, 5, 0);
// Serialize protocol buffer payload
byte[] protoRequest;
using (var ms = new MemoryStream())
{
Serializer.Serialize(ms, MyPayloadObject());
protoRequest = ms.ToArray();
}
var result = await client.PostAsync("/resource", new ByteArrayContent(protoRequest));
if (!result.IsSuccessStatusCode)
{
var stringContent = result.Content.ReadAsStringAsync().Result;
if (stringContent != null)
{
Console.WriteLine("Request Content: " + stringContent);
}
}
}
catch (Exception ex)
{
Console.WriteLine(ex.Message);
throw;
}
}
private bool ValidateServerCertificate(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
if (sslPolicyErrors == SslPolicyErrors.None)
return true;
Console.WriteLine("Certificate error: {0}", sslPolicyErrors);
// Do not allow this client to communicate with unauthenticated servers.
return false;
}
编辑
我甚至都没有闯入ValidateServerCertificate。调用PostAsync后立即引发异常。协议绝对是TLS v1 客户端操作系统是Windows 8.1。服务器是用Java编码的(不确定它运行在什么操作系统上。我没有访问权限。它是一个黑盒子。) Stacktrace 位于System.Net.HttpWebRequest.EndGetRequestStream(IAsyncResult asyncResult、TransportContext和context) 位于System.Net.Http.HttpClientHandler.GetRequestStreamCallback(IAsyncResult ar)
没有内部异常。您是否尝试将
安全协议更改为Ssl3
?无论哪种情况,都需要将Expect
属性设置为true
。它会纠正你的错误。您还可以进一步了解如何通过客户端证书进行身份验证
public void SendRequest()
{
try
{
ServicePointManager.Expect100Continue = true;
ServicePointManager.SecurityProtocol = SecurityProtocolType.Ssl3;
var handler = new WebRequestHandler();
.....
}
..
}
你试过下面的代码吗
ServicePointManager.ServerCertificateValidationCallback = ((sender, certificate, chain, sslPolicyErrors) => true);
请在您的代码行之前输入
handler.ClientCertificates.AddRange(certificate);
当我看到这篇文章时,我正试图验证正在使用的安全协议。当我使用不正确的安全协议时,我发现在ValidateServerCertificate之前抛出了一个错误。(IIS 7.x默认为SSL3。)要覆盖要使用的协议的所有基础,可以定义所有。
System.Net.ServicePointManager.SecurityProtocol=System.Net.SecurityProtocolType.Tls12 | System.Net.SecurityProtocolType.Tls11 | System.Net.SecurityProtocolType.Tls | System.Net.SecurityProtocolType.Ssl3代码>我正在使用与您相同的代码库,但没有使用
certificate.Import("MY_KEYSTORE.p12", "PASSWORD", X509KeyStorageFlags.DefaultKeySet);
我正在使用x509keystrageflags.UserKeySet
此外,我已将根证书安装到CurrentUser/CA并为我工作。谁是存储在.P12文件中的证书的颁发者?服务器信任这样的颁发者吗?它是由我试图连接到的服务器的所有者颁发的(他们给了我文件)。ValidateServerCertificate是否返回true
或false
?你能设置一个断点并检查吗?如果返回false,sslPolocyErrors的值是多少?尝试始终从方法返回true
,以测试这是否解决了问题?可能您的本地计算机不信任服务器证书的颁发者?您确定服务器使用TLS 1.0吗?请看下面的图片。您可以使用SSL、TLS1.0、TLS1.1或TLS 1.2I,但我甚至不会侵入ValidateServerCertificate。调用PostAsync后立即引发异常。至于安全协议,我很确定是TLS1,但我会再检查一遍。谢谢你的建议。我确实试过了,但我还是犯了我原来帖子中提到的同样的错误。