使用客户端证书身份验证的结构访问失败

Question

我们正在使用 Fabric 安全集群，需要 CI/CD 工具的客户端证书。

我已经用这个脚本https://gist.github.com/kagarlickij/d63a4061a1066d3a85abcc658f0856f5创建了集群主证书和客户端证书

因此两者都已上传到同一个 Kay 保管库，并且都已安装到我机器上的本地密钥库中。

我已将客户端证书添加到我的 Fabric 安全设置（身份验证类型 = 管理员客户端，授权方法 = 证书指纹）。

问题是我可以使用集群主证书连接（我在 PowerShell 中使用 Connect-ServiceFabricCluster）到 Fabric 集群，但不能使用客户端证书。 我收到此错误： Connect-ServiceFabricCluster : FABRIC_E_SERVER_AUTHENTICATION_FAILED: 0x800b0109

请指教可以做什么？

Answer 1

基于on this link，0x800b0109对应的错误代码为：

已处理证书链，但在根证书中终止 不受信任提供者信任。

您正在使用自签名证书作为客户端证书。我不确定它是否受 Service Fabric Security documentation 中所述的支持，此外，您必须确保已在本地商店中添加 SSL 证书。

客户端 X.509 证书

客户端证书通常不是由第三方 CA 颁发的。 相反，当前用户位置的个人存储通常 包含由根授权放置在那里的客户端证书，带有 客户端身份验证的预期目的值。客户端可以使用 需要相互认证时使用此证书。注意

Service Fabric 群集上的所有管理操作都需要服务器证书。客户端证书不能用于管理。

Answer 2

我在通过 powershell 管理集群时遇到了同样的问题，我在集群上只有 1 个证书（创建集群时生成的一个 azure），我相信它是一个客户端证书，因为我必须在浏览器中选择它管理集群。

最终我不得不将自签名证书添加到我的根证书存储区（除了我已经拥有它的个人存储区），以使 powershell 模块停止抱怨它。