authentication -如何将SSL添加到使用httplistener的.net应用程序-它将*不*在IIS上运行

Translate

最新编辑以粗体显示我正在使用.netHttpListener类,但我不会在IIS上运行此应用程序,也不在使用ASP.net。这个网站描述使用asp.net实际使用哪些代码来实现SSL,以及这个网站描述了如何设置证书(尽管我不确定它是否仅适用于IIS)。

类文档描述了各种身份验证类型(基本身份验证,摘要身份验证,Windows身份验证等)---它们都不涉及SSL。它确实说,如果使用HTTPS,您将需要设置服务器证书。这是单行属性设置吗?HttpListener弄清楚其余的吗?

简而言之,我需要知道如何设置证书以及如何修改代码以实现SSL。

尽管在尝试访问HTTPS时没有发生此错误,但我的确在系统事件日志中发现了一个错误-源为“ Schannel”,消息的内容为:

尝试访问SSL服务器凭据私钥时发生致命错误。从加密模块返回的错误代码是0x80090016。

编辑:
到目前为止已采取的步骤

  • 在C#中创建了适用于HTTP连接的有效HTTPListener(例如“http:// localhost:8089 / foldername /"
  • 使用makecert.exe创建了一个证书
  • 使用certmgr.exe添加了受信任的证书
  • 使用Httpcfg.exe侦听测试端口(例如8090)上的SSL连接
  • 通过listener.Prefixes.Add(将端口8080添加到HTTPListenerhttps:// localhost:8090 / foldername /“);
  • 测试了HTTP客户端连接,例如(http:// localhost:8089 / foldername /“)在浏览器中并获得正确的返回
  • 测试了HTTPS客户端连接,例如(http:// localhost:8090 / foldername /”),并收到“数据传输中断”(在Firefox中)
  • 在Visual Studio中进行调试表明,HTTPS连接启动时,接收到请求的侦听器回调不会被击中-我看不到可以设置断点以捕获其他任何内容的地方。
  • netstat显示HTTPS和HTTP的侦听端口均打开。尝试连接后,HTTPS端口确实转到TIME_WAIT。
  • 提琴手HTTP分析器不会捕获任何流量,我想在此过程中它还远远不足以显示在那些HTTP分析工具中

问题

  • 可能是什么问题?
  • 我是否缺少一部分.Net代码(这意味着我必须在C#中做更多的工作,而不仅仅是在侦听器中添加指向HTTPS的前缀,这就是我所做的)
  • 在某处错过了配置步骤吗?
  • 我还可以做些什么来分析问题?
  • 系统事件日志中的错误消息是问题的征兆吗?如果是这样,如何解决?
This question and all comments follow the "Attribution Required."

所有的回答

Translate

我有一个类似的问题,看来证书本身可能有问题。

这是对我有用的路径:

makecert.exe -r -a sha1 -n CN=localhost -sky exchange -pe -b 01/01/2000 -e 01/01/2050 -ss my -sr localmachine

然后查询证书指纹,将其复制到剪贴板并删除空格。在下一个命令中,这将是-h之后的参数:

HttpCfg.exe set ssl -i 0.0.0.0:801 -h 35c65fd4853f49552471d2226e03dd10b7a11755

然后在上运行服务主机https://本地主机:801 /而且效果很好。

我无法进行的工作是让https在自行生成的证书上运行。这是我运行生成的代码(为清楚起见,删除了错误处理):

LPCTSTR pszX500 = subject;
DWORD cbEncoded = 0;
CertStrToName(X509_ASN_ENCODING, pszX500, CERT_X500_NAME_STR, NULL, pbEncoded, &cbEncoded, NULL);
pbEncoded = (BYTE *)malloc(cbEncoded);
CertStrToName(X509_ASN_ENCODING, pszX500, CERT_X500_NAME_STR, NULL, pbEncoded, &cbEncoded, NULL);

// Prepare certificate Subject for self-signed certificate
CERT_NAME_BLOB SubjectIssuerBlob;
memset(&SubjectIssuerBlob, 0, sizeof(SubjectIssuerBlob));
SubjectIssuerBlob.cbData = cbEncoded;
SubjectIssuerBlob.pbData = pbEncoded;

// Prepare key provider structure for self-signed certificate
CRYPT_KEY_PROV_INFO KeyProvInfo;
memset(&KeyProvInfo, 0, sizeof(KeyProvInfo));
KeyProvInfo.pwszContainerName = _T("my-container");
KeyProvInfo.pwszProvName = NULL;
KeyProvInfo.dwProvType = PROV_RSA_FULL;
KeyProvInfo.dwFlags = CRYPT_MACHINE_KEYSET;
KeyProvInfo.cProvParam = 0;
KeyProvInfo.rgProvParam = NULL;
KeyProvInfo.dwKeySpec = AT_SIGNATURE;

// Prepare algorithm structure for self-signed certificate
CRYPT_ALGORITHM_IDENTIFIER SignatureAlgorithm;
memset(&SignatureAlgorithm, 0, sizeof(SignatureAlgorithm));
SignatureAlgorithm.pszObjId = szOID_RSA_SHA1RSA;

// Prepare Expiration date for self-signed certificate
SYSTEMTIME EndTime;
GetSystemTime(&EndTime);
EndTime.wYear += 5;

// Create self-signed certificate
pCertContext = CertCreateSelfSignCertificate(NULL, &SubjectIssuerBlob, 0, &KeyProvInfo, &SignatureAlgorithm, 0, &EndTime, 0);
hStore = CertOpenStore(CERT_STORE_PROV_SYSTEM, 0, 0, CERT_SYSTEM_STORE_LOCAL_MACHINE, L"MY");
CertAddCertificateContextToStore(hStore, pCertContext, CERT_STORE_ADD_REPLACE_EXISTING, 0);

证书显示正常,并且具有有效的私钥,但是https会超时,就像从未注册指纹一样。如果有人知道为什么-请评论

编辑1:经过一番摸索,我发现CertCreateSelfSignCertificate的初始化会生成正确的证书:

CRYPT_KEY_PROV_INFO KeyProvInfo;
memset(&KeyProvInfo, 0, sizeof(KeyProvInfo));
KeyProvInfo.pwszContainerName = _T("my-container");
KeyProvInfo.pwszProvName = _T("Microsoft RSA SChannel Cryptographic Provider");
KeyProvInfo.dwProvType = PROV_RSA_SCHANNEL;
KeyProvInfo.dwFlags = CRYPT_MACHINE_KEYSET;
KeyProvInfo.cProvParam = 0;
KeyProvInfo.rgProvParam = NULL;
KeyProvInfo.dwKeySpec = AT_KEYEXCHANGE;
来源
Translate

您只需要将证书绑定到ip:port,然后使用https://前缀打开您的侦听器。 0.0.0.0适用于所有ip。 appid是任何随机的GUID,而certhash是证书的哈希(有时称为thumprint)。

使用管理员特权使用cmd.exe运行以下命令。

netsh http add sslcert ipport=0.0.0.0:1234 certhash=613bb67c4acaab06def391680505bae2ced4053b  appid={86476d42-f4f3-48f5-9367-ff60f2ed2cdc}

如果您想创建一个自签名证书来对此进行测试,

  1. 打开IIS
  2. 点击您的计算机名称
  3. 单击服务器证书图标
  4. 单击生成自签名证书
  5. 双击并转到详细信息
  6. 您将在此处看到指纹,只需删除空格即可。

    HttpListener listener = new HttpListener();
    listener.Prefixes.Add("https://+:1234/");
    listener.Start();
    Console.WriteLine("Listening...");
    HttpListenerContext context = listener.GetContext();
    
    using (Stream stream = context.Response.OutputStream)
    using (StreamWriter writer = new StreamWriter(stream))
        writer.Write("hello, https world");
    
    Console.ReadLine();
    

运行该程序后,我只是导航到https://localhost:1234来查看文字。由于证书CN与URL不匹配,并且不在受信任的证书存储区中,因此您将收到证书警告。文本是加密的,但是您可以使用Wire Shark之类的工具进行验证。

如果要对创建自签名的x509证书进行更多控制,openssl是一个很棒的工具,并且有一个用于Windows的端口。与makecert工具相比,我获得了更多的成功。


同样非常重要的是,如果要通过带有ssl警告的代码与https服务进行通信,则必须在服务点管理器上设置证书验证器以绕过它以进行测试。

ServicePointManager.ServerCertificateValidationCallback += (sender, cert, chain, errors) => true;
来源
Translate

我还没有完全实现它,但是这个网站似乎提供了一个很好的演练设置证书和代码的过程。

来源
Translate

这是不使用SSL将SSL证书绑定到IP / PORT组合的另一种方法httpcfg.exe(XP)或netsh.exe(Vista +)。

http://dotnetcodebox.blogspot.com.au/2012/01/how-to-work-with-ssl-certificate.html

要点是您可以使用C ++HttpSetServiceConfigurationWindows内置的API可以通过编程而不是通过命令行来实现,因此消除了对操作系统的依赖并安装了httpcfg。

来源
Translate

类文档

有这个注意事项:

如果使用https创建HttpListener,则必须为该侦听器选择一个服务器证书。否则,此HttpListener的HttpWebRequest查询将因连接意外关闭而失败。

和这个:

您可以使用HttpCfg.exe配置服务器证书和其他侦听器选项。看到http://msdn.microsoft.com/library/default.asp?url=/library/en-us/http/http/httpcfg_exe.asp更多细节。该可执行文件随Windows Server 2003一起提供,或者可以从Platform SDK中提供的源代码构建。

第二个解释了第一个音符吗?如问题所述,我使用httpcfg.exe将证书绑定到特定端口。如果他们打算除此以外的其他用途,则说明不明确。

来源
Doreen Lee
Translate

我遇到了与您相同的问题。幸运的是,在继续努力之后这一页使SSL与我的HttpListener一起使用。

来源