是否可以在 C# 中使用带有 CA 证书的 .p12 文件而不将其导入证书存储区
Bjö*_*örn 4 c# curl certificate x509certificate .net-core
我得到了一个 .p12 证书文件,其中包含 3 个证书。其中2个是CA证书。
如果我使用curl(Win10上的7.70)我可以这样做:curl -s -S -i --cert Swish_Merchant_TestCertificate_1234679304.p12:swish --cert-type p12 --tlsv1.2 --header "Content-Type:application/json “ https://mss.cpc.getswish.net/swish-cpcapi/api/v1/ paymentrequests paymentrequests --data-binary @jsondata.json
Curl 在连接到服务器时将使用 p12 文件中的 CA 证书。
另一方面,如果我尝试在 .net core (3.1) 中执行类似的操作,则会失败并显示错误消息“收到的消息意外或格式错误”。
var handler = new HttpClientHandler();
var certs = new X509Certificate2Collection();
certs.Import(@"Swish_Merchant_TestCertificate_1234679304.p12", "swish", X509KeyStorageFlags.MachineKeySet | X509KeyStorageFlags.PersistKeySet);
foreach (var cert in certs)
{
handler.ClientCertificates.Add(cert);
}
var client = new HttpClient(handler);
var url = "https://mss.cpc.getswish.net/swish-cpcapi/api/v1/paymentrequests";
var request = new HttpRequestMessage()
{
RequestUri = new Uri(url),
Method = HttpMethod.Post,
};
request.Content = new StringContent(System.IO.File.ReadAllText(@"jsondata.json"), Encoding.UTF8, "application/json");
request.Headers.Add("accept", "*/*");
var response = await client.SendAsync(request);
使用 Wireshark,我看到curl 发送 p12 文件中的所有三个证书,而 .net core 只发送一个。请参阅下面的图片。
如果我将 CA 证书安装到“当前用户”的“个人证书”中,那么 .net core 也会发送所有三个证书并且它可以工作。
问题:使用 .net core 时是否必须安装 CA 证书(到证书存储中),或者有没有办法让它像使用 p12 文件中的证书的curl 一样?
Wireshark 卷曲:
Wireshark.net 核心:
简短回答:不*。
更冗长的介绍:使用 TLS 服务器发送的有关适当根的数据(历史上是,但不再普遍)SslStream从ClientCertificates集合中挑选一个证书(如果没有一个适用,则它会挑选第一个为HasPrivateKey真的证书)。在选择过程中,每个候选证书都会被单独检查,并要求系统解析链。在 Windows 上,选定的证书随后会发送到系统库,以表示“我们现在正在执行 TLS”,这 (IIRC) 就是限制的来源。(.NET Core 的 macOS 和 Linux 版本只是尝试保持行为对等)
一旦选择了证书,就会有最后一个链式遍历来确定握手中包含哪些证书,这是在没有集合中任何其他内容的情况下完成的ClientCertificates。
如果您知道您的集合代表一条链,那么最好的答案是将 CA 元素导入到您的用户 CertificateAuthority 存储中。该存储不会对 CA 证书赋予任何信任,它实际上只是构建链时使用的缓存。
另外,您不需要 PersistKeySet,并且可能不需要 MachineKeySet:所有不同 X509KeyStorageFlags 的基本原理是什么?
var handler = new HttpClientHandler();
using (X509Store store = new X509Store(StoreName.CertificateAuthority, StoreLocation.CurrentUser))
{
store.Open(OpenFlags.ReadWrite);
var certs = new X509Certificate2Collection();
certs.Import(@"Swish_Merchant_TestCertificate_1234679304.p12", "swish", X509KeyStorageFlags.DefaultKeySet);
foreach (X509Certificate2 cert in certs)
{
if (cert.HasPrivateKey)
{
handler.ClientCertificates.Add(cert);
}
else
{
store.Add(cert);
}
}
}
var client = new HttpClient(handler);
...
* 如果您的系统已经导入了 CA 链,那么它就可以工作。或者,如果 CA 链使用权威信息访问扩展来发布 CA 证书的可下载副本,链引擎将找到它,并且一切都会正常工作。
| 归档时间: |
|
| 查看次数: |
3844 次 |
| 最近记录: |