我有一个基于 Azure 的 .NET Web 应用程序,我们正在尝试将其连接到客户端的本地 ADFS 环境。我们能够通过 Azure 混合连接访问资源,但是当我们尝试从 ADFS 获取身份验证标头时,我们收到证书错误。
经过一番挖掘后,我们发现他们没有使用来自受信任的根 CA 的证书,而是使用自签名证书。客户已向我们发送了他们的根 CA(以及中间证书)证书,并要求我们让我们的 Azure 应用程序信任这些证书。
1)这可能吗?
2)这样做是否存在安全风险?
我找到了有关向应用程序服务添加证书的文档,但我认为这不会“信任”由其根 CA 证书签名的任何证书,而是仅信任该证书本身。 https://learn.microsoft.com/en-us/azure/app-service/app-service-web-ssl-cert-load
我还发现了这个问题,这是 2015 年的问题,很好奇这个答案从那时起是否发生了变化。 如何信任 Azure Web 应用程序中的 Active Directory 根 CA 证书?
当前尝试连接到他们的 ADFS 时我们收到的实际错误:
System.Net 信息:0:[13800] SecureChannel#55196503 - 远程证书有错误:
System.Net 信息:0:[13800] SecureChannel#55196503 - 无法为受信任的根颁发机构构建证书链。
System.Net 信息:0:[13800] SecureChannel#55196503 - 远程证书被用户验证为无效。
System.Net 错误:0:[13800] HttpWebRequest#44115416 中的异常:: - 底层连接已关闭:无法为 SSL/TLS 安全通道建立信任关系。
不,仍然无法使用自签名证书。由于安全风险,要求没有改变。
参考 MS 文档,以下是 SSL 证书的要求:
要在应用服务中使用证书,证书必须满足以下所有要求:
| 归档时间: |
|
| 查看次数: |
5157 次 |
| 最近记录: |