那些遇到过的问题

如何验证 LDAP+SSL 连接的服务器 SSL 证书

Nth*_*per 2 c# security ssl ldap active-directory

我们的应用程序适用于 Active Directory 用户和组。我们在端口 389 上使用 LDAP 进行 Active Directory 操作。现在,我们的一位客户希望我们添加一个使用 LDAP + SSL 进行 Active Directory 通信的选项。

他们告诉我们,他们在其域上安装了本地 CA,并使用 LDAPS 自签名证书。他们还告诉我们,他们将提供证书,不需要相互信任,我们应该使用 Windows 证书存储。

我开发了一个用于 LDAP+SSL 操作的测试应用程序,并发现当客户端启动 LDAP+SSL 连接时,服务器会发送其证书。我只能通过从服务器证书验证方法返回 true 来建立连接。

问题是:- 客户应该向我们提供哪个证书(根、用于 LDAP+SSL 的证书...)?

在.Net环境下工作的证书应该是什么格式?

连接服务器时如何验证服务器的证书?

“我们应该使用 Windows 证书存储”是什么意思?他们是否希望我们将服务器的证书自动添加到本地计算机的受信任证书存储中?

我用于 LDAP+SSL 连接的示例代码,

LdapConnection _connection = new LdapConnection(new LdapDirectoryIdentifier(m_DomainName, m_PortNo));
_connection.Timeout = TimeSpan.FromMinutes(10);
_connection.AuthType = AuthType.Basic;
_connection.Credential = new NetworkCredential(m_UserName, m_Password);

_connection.SessionOptions.ProtocolVersion = 3;
_connection.SessionOptions.SecureSocketLayer = true; 

_connection.SessionOptions.VerifyServerCertificate = (ldapCon, serverCertificate) =>
{
   //TODO: Verify server certificate
   return true;
};
_connection.SessionOptions.QueryClientCertificate = (con, trustedCAs) => null;

_connection.Bind();
Run Code Online (Sandbox Code Playgroud)

Gab*_*yel 5

客户应该给我们哪个证书(根、用于 LDAP+SSL 的证书...)?

\n\n

签署 LDAP 服务器证书的根证书。他们还可以提前为您提供整个链,但无论如何都会在 TLS 握手期间发送。您只需要提前拥有根证书即可。

\n\n

在.Net环境下工作的证书应该是什么格式?

\n\n

您可以导入到 certmgr.msc 中的任何内容。Pfx 是 Windows 上的常用选择。

\n\n

连接服务器时如何验证服务器的证书?

\n\n

您不应该自己编写验证。证书验证是一件棘手的事情,而且它已经为您完成了。使用内置的东西(另见下文)。

\n\n

“我们应该使用 Windows 证书存储”是什么意思?他们是否希望我们将服务器的证书自动添加到本地计算机的受信任证书存储中?

\n\n

是的。他们向您发送用于签署 ldap 服务器证书的根证书,然后您可以将其导入为受信任的根。完成此操作后,您不需要进行任何手动验证,它将仅适用于有效证书,而不适用于无效证书。

\n\n

请注意,一旦您将其根证书添加为受信任,他们就可以为安装其根的客户端伪造任何服务器证书,并且他们签名的任何内容都将被视为在该客户端上有效。

\n\n

奖励:添加半自定义验证和调试证书错误

\n\n

您可能面临的一个问题是错误消息没有太大帮助。如果无法验证证书,您将收到一条非常通用的错误消息,其中没有任何有关实际问题的提示。您可能还出于其他原因想要参与验证过程。

\n\n

为此,您可以定义自己的验证:

\n\n
private bool VerifyServerCertificate(LdapConnection ldapConnection, X509Certificate certificate)\n{\n    X509Certificate2 certificate2 = new X509Certificate2( certificate );\n    return certificate2.Verify();\n}\n
Run Code Online (Sandbox Code Playgroud)\n\n

然后将其添加到 ldap 连接:

\n\n
_connection.SessionOptions.VerifyServerCertificate = \n    new VerifyServerCertificateCallback( VerifyServerCertificate );\n
Run Code Online (Sandbox Code Playgroud)\n\n

这样你就可以捕获异常等Verify()。但是,如果证书有效(可以由客户端验证),这并不是严格需要的,无论如何它都会自动完成。仅当您想要未实现的内容时才需要这个,例如您可以返回 true 来VerifyServerCertificate接受任何证书,包括无效的证书(这将是一个坏主意并使安全连接变得无用,但可能有利于调试等) )。

\n\n

您可以在此方法中实现的另一件事是证书固定以提高安全性,但这超出了本答案的范围。

\n

归档时间:

查看次数:

7919 次

最近记录:

8 年,12 月 前
相关归档
如何将String转换为Int? 603
C#创建简单的xml文件 61
什么是Entity Framework流畅的api? 52
什么是C++中<map>的等价物? 46
你如何在asp.net-mvc中连接Application_BeginRequest() 43
如何让Java使用我的安全提供程序? 16
绕过HTML导入的安全性 6
使用SSL与MongoDB C#驱动程序连接到DocumentDB 6
如何保护 REST-API? 4
如何使用T-SQL查询获取Active Directory中的1000条记录限制? 3
难疑归档
为什么Java的+ =, - =,*=,/ =复合赋值运算符需要转换? 3547
__str__和__repr__之间的区别? 2545
我遇到了合并冲突.我怎样才能中止合并? 2391
如何在SQL SELECT中执行IF ... THEN? 1438
重写System.Object.GetHashCode的最佳算法是什么? 1389
处理"java.lang.OutOfMemoryError:PermGen space"错误 1215
将JS对象转换为JSON字符串 1199
如何在悬停而不是单击时使Twitter Bootstrap菜单下拉列表 1146
UTF-8一路走来 1146
#Hibernate hbm2ddl.auto配置的可能值是什么,它们做了什么 1046