如何在 .NET SslStream 中为客户端身份验证指定接受的证书
题
我正在尝试使用 .Net System.Security.SslStream 类来处理具有客户端身份验证的 SSL/TLS 流的服务器端。
为了执行握手,我使用以下代码:
SslStream sslStream = new SslStream(innerStream, false, RemoteCertificateValidation, LocalCertificateSelectionCallback);
sslStream.AuthenticateAsServer(serverCertificate, true, SslProtocols.Default, false);
不幸的是,这会导致 SslStream 传输包含我的 CryptoAPI 受信任根存储中所有证书的主题名的 CertificateRequest。
我希望能够覆盖这个。对于我来说,要求用户从受信任的根存储中安装或删除证书不是一个选项。
看起来 SslStream 在底层使用了 SSPI/SecureChannel,所以如果有人知道如何使用该 API 执行相同的操作,那也会很有帮助。
有任何想法吗?
解决方案
目前看来使用 .NET 库不可能做到这一点。
我通过使用 System.Security.SslStream 的 Mono 类库实现解决了这个问题,它可以更好地访问在握手期间覆盖服务器的行为。
其他提示
证书验证所做的是验证链中的所有证书。为了真正做到这一点,它只需联系每个证书的根存储。
如果这不是您想要发生的事情,您可以在本地部署您自己的根存储。
这不是我想改变的验证部分。问题是在初始握手中,服务器发送消息通知客户端需要进行客户端身份验证(即CertificateRequest 消息)。作为此消息的一部分,服务器发送它将接受作为客户端证书颁发者的 CA 的名称。默认情况下,该列表包含存储中的所有受信任根。
但是,如果可以覆盖单个应用程序的证书根存储,则可能会解决问题。你是这个意思吗?如果是这样,我该怎么做?
不隶属于 StackOverflow