HttpRequestMessage.GetClientCertificate() 在 Web API 中返回 null

Question

我有一个 .NET4.5 WebAPI 2 应用程序，它使用 SSL 客户端证书进行一些自定义安全相关检查。

在调试应用程序时，request.GetClientCertificate() 会为任何服务调用返回 null，无论我到目前为止尝试了什么。

经过测试的代码：

基本上，在我的服务方面，我有一个类似这样的方法：

class CertificateChecker : ICertificateChecker
{
    public bool Check(HttpRequestMessage request)
    {
        var cert = request.GetClientCertificate();
    }
}

我的单元测试使用request.Properties.Add(HttpPropertyKeys.ClientCertificateKey, cert) pass 附加到请求的客户端证书（证书完全符合预期，验证工作等等）。

但是，当我使用 HttpClient 调用实际 WebAPI 应用程序的测试时，在服务端的 request.GetClientCertificate() 行设置断点时，同一行返回 null。

这是我尝试过的：

客户证书：

• 创建了一个假 CA 并将其放入受信任的 CA 存储中（尝试了 LocalMachine 和当前用户）。
• 创建了一个由该假 CA 签名的客户端身份验证 (1.3.6.1.5.5.7.3.2) 证书并将其放入个人存储区（LocalMachine 和当前用户）。

（基本上，关注https://www.piotrwalat.net/client-certificate-authentication-in-asp-net-web-api-and-windows-store-apps/和类似博客）

在我使用HttpClient 调用服务的测试中，通过以下方式附加客户端证书（均无效）：

• 使用WebRequestHandler 并将ClientCertificateOptions 设置为手动，并将证书添加到ClientCertificates 集合中。

  using (var handler = new WebRequestHandler())
  {
       var cert = GetTestCert();
       handler.ClientCertificateOptions = ClientCertificateOption.Manual;
       handler.ClientCertificates.Add(cert);
  
       // and so on...
  }
  

• 使用HttpRequestMessage，将证书添加为属性，并将密钥设置为HttpPropertyKeys.ClientCertificateKey（这种方法在上述单元测试时有效）。

  request.Properties.Add(HttpPropertyKeys.ClientCertificateKey, cert);
  

cert 变量在这两种情况下都设置为预期的X509Certificate2 对象。

托管：

• IISExpress：尝试在 IISExpress 中运行应用程序。

  编辑 applicationhost.config 并将 iisClientCertificateMappingAuthentication enabled 设置为“true”和以下访问设置（均无效）：

  <access sslFlags="Ssl, SslNegotiateCert" />
  <access sslFlags="SslNegotiateCert" />
  

• 本地 IIS 将 Web 应用设置为在我的本地计算机上的 IIS 中运行

  • IIS 中的站点使用受信任的证书配置了 HTTPS 绑定。
  • Web 应用程序配置为使用 https 协议并启用 IIS 客户端证书映射身份验证。
  • 尝试了两种访问选项组合（Ssl, SslNegotiateCert 和 SslNegotiateCert）（通过配置编辑器）

在这两种情况下，当使用 web 浏览器通过 https url 访问 web api 时，我可以毫无问题地显示家庭控制器的索引视图（因此，服务器端证书是可信的）。

Answer 1

我知道它有点旧，但我遇到了同样的问题，我通过以下文章解决了它：

https://improveandrepeat.com/2017/07/how-to-configure-iis-express-to-accept-ssl-client-certificates/

问题是 IIS 服务器上的配置，也可以在 IIS express 上进行修改。如果链接不可用，我会报告它。

对于 IIS 更改服务器配置文件，对于 IIS Express 修改 您的解决方案下的文件位于 .vs\config\applicationhost.config

搜索元素内部调用的xml元素：

<security>
  <access sslFlags="None" />

默认配置不支持 SSL 客户端证书。 您需要修改 sslFlags 属性以包含以下选项： Ssl、SslNegotiateCert、SslRequireCert

<security>
        <access sslFlags="Ssl, SslNegotiateCert, SslRequireCert" />

下一步是找到元素 ：

<iisClientCertificateMappingAuthentication enabled="false"></iisClientCertificateMappingAuthentication>

如果将 enabled 更改为 true，IIS Express 将开始接受客户端 证书：

<iisClientCertificateMappingAuthentication enabled="true">
            </iisClientCertificateMappingAuthentication>

您现在需要重新启动 Visual Studio 和 IIS Express。 IIS Express 可以 使用系统托盘中的图标重新启动。

从现在开始，您将被要求提供客户端证书，您可以 在 Visual Studio 中调试整个应用程序。这可能看起来不像 就像一个很大的改进，但相信我，它使调试变得更加简单。

希望这可以帮助其他人:-)

Answer 2

关于您的问题的详细信息。

我将假设问题在于使用 HttpClient 附加客户端证书，因为在这种情况下您无法在服务器端查看证书。所有托管和服务器端证书配置听起来都不错。

1. 我会确保您附加的 X509Certificate2 cert 变量是本地证书存储中存在的公钥（我不确定您将其存储在哪个存储位置）（您可以检查使用 mmc.exe)。还要确保公钥有一个私钥，因为 HttpClient 需要它来签署请求。

2. 在您的代码 sn-p 中，您在其余代码之前有 using (var handler = new WebRequestHandler())。确保你也在使用中构造你的HttpClient client = new HttpClient(handler)，否则处理程序将被释放。

否则处理程序创建看起来不错。

祝你好运！