Besoin de Certificat Client SSL uniquement pour des routes ou des contrôleurs de

J'ai un ASP.NET MVC projet Core à l'aide de Kestrel que le serveur. Il est à la fois servir le contenu de l'utilisateur (asp.net mvc) et accueille des contrôleurs d'API web que les agents (logiciels) de communiquer avec. J'ai activé le HTTPS et le certificat du client de support. Le problème est que je veux pour exiger des certificats client pour les agents (logiciels) que d'appeler des Web Api, mais je ne veux pas exiger/invite de certificats client régulier, basé sur le navigateur des utilisateurs.

J'ai activé le HTTPS/certificat du client de support de la manière suivante:

var host = new WebHostBuilder()
.UseKestrel(options =>
{
    HttpsConnectionFilterOptions httpsoptions = new    HttpsConnectionFilterOptions();
    httpsoptions.ServerCertificate = CertUtil.GetServerCert();
    httpsoptions.ClientCertificateMode = ClientCertificateMode.AllowCertificate;
    httpsoptions.CheckCertificateRevocation = false;

    options.UseHttps(httpsoptions);
})
.UseUrls("http://0.0.0.0:5000", "https://0.0.0.0:5001")
.UseContentRoot(Directory.GetCurrentDirectory())
.UseStartup<Startup>()
.Build();
host.Run();

J'ai séparé middleware gestionnaire de configuration de Démarrage.cs pour gérer personnalisé de vérification de certificats client. Ce code a exécuter avec succès et tout fonctionne bien dans ce sens.

Le problème est ce qui se passe à l'échelle mondiale et je suis seulement à la recherche d'appliquer les certificats clients des contrôleurs spécifiques et/ou de routes; ou vraiment je prendrais tout niveau de granularité à ce point.

Essentiellement en essayant de créer le même genre de comportement que vous pouvez obtenir dans IIS par la création de deux répertoires virtuels, puis définir les Paramètres SSL, à Accepter l'un et de l'Ignorer, de l'autre. L'un avec l'Accepter invite le navigateur pour un cert et l'un avec l'Ignorer ne sera pas.

J'ai essayé de réglage HttpsConnectionFilterOptions pour spécifier uniquement ServerCertificate dans l'espoir de ne pas fixer d'un certificat client des options liées à la permettrait au serveur pour recevoir des certificats clients si ils sont envoyés, mais sinon, pas d'invite de navigateurs pour eux. Cela ne semble pas fonctionner comme mon middleware certificat du client gestionnaire ne voit jamais un client cert lors de l'appel de cette fonction (c'est le cas lorsque ClientCertificateMode est fixé à AllowCertificate.

context.Connection.GetClientCertificateAsync();

Je suppose que dans court ne Crécerelle d'hébergement permettent même de plus granulaire mappage de certificat client/de la manipulation ou est-il seulement possible à l'aide de IIS? IIS n'est pas une option pour ce projet et je préférerais ne pas avoir à créer un projet/processus juste pour le client cert api aspects. Reconnaissant de toute aide!

InformationsquelleAutor Paul W. | 2016-07-29
  1. 4

    J'ai essayé de faire la même chose, avec exactement les mêmes exigences que vous.

    Je suis venu à la conclusion qu'il n'est pas possible. Ma solution est d'utiliser 2 WebHostBuilder objets - l'un des emplacements ne pas besoin client certs, et un pour ceux qui ne. Cela a l'inconvénient que chaque IWebHost doit écouter sur un port différent, mais à partir du scénario que vous décrivez, je suppose que c'est pas un gros problème.

    Je le fais ce dans le même processus, de sorte que cette solution répond à cette exigence.

    • J'ai récemment trouvé ce vraiment la seule solution viable pour le moment. L'équipe de développement semble recommander la même chose: github.com/aspnet/KestrelHttpServer/issues/... Merci à vous!
    • Vous demandez-vous si quelqu'un a une nouvelle/une meilleure façon de faire cela maintenant que asp.net core 2.0 est sorti?
    InformationsquelleAutor Cocowalla
  2. 3

    J'ai eu le même problème avec context.Connection.GetClientCertificateAsync(); il était toujours retourner null. Ensuite, j'ai remarqué que j'étais en train de Kestrel thru IIS Express tous les temps.

    Donc dans Visual Studio à partir de l'Debuger de la barre d'outils, j'ai changé de IIS Express pour mon projet. Kestrel a commencé comme l'application de la console et j'ai été en mesure d'obtenir le certificat client.

    Besoin de Certificat Client SSL uniquement pour des routes ou des contrôleurs de

    Je pense que IIS Express ne prend pas en charge les certificats clients de sorte que le certificat a toujours été ignoré.

    Pour l'autre partie de la question; je pense que Kestrel dos pas en charge cette granularité que vous êtes à la recherche de la boîte lors de l'utilisation de la HttpsConnectionFilterOptions. À partir de la Kestrel Filtre de Connexion des Options de code source la connexion sera interrompue si le certificat client est null. Peut-être vous pouvez modifier le code source pour le HttpsConnectionFilterOptions et de créer votre propre filtre d'elle. Ensuite, vous pouvez utiliser le ClientCertificateValidation propriété pour spécifier personnalisé certificat de validation de la méthode qui permet la connexion lorsque aucun certificat client n'est envoyer.

    Espère que cette aide.

    InformationsquelleAutor The Tech Geek
  3. 1

    J'ai compris comment faire pour avoir le Certificat du Client uniquement sur certaines routes, mais lorsqu'il est exécuté dans Azure Web App, le client cert n'est pas passé pour le code. C'est le même problème lors de l'exécution sous IIS Express.

    Dans cet exemple, Un contrôleur a besoin d'aucune cert, les deux autres nécessite des certs.
    https://github.com/xavierjohn/ClientCertificateMiddleware

    Le certificat est passé par si il est pas fonctionner sous IIS Express.

    • C'est effectivement une très bonne solution que vous avez construit. Une chose à partir d'un point de vue sécurité, c'est que vous devriez vérifier également à l'égard de l'empreinte numérique du certificat qu'autrement, un attaquant peut usurper Émetteur et l'Objet de très facilement, tandis que d'empreinte est un hachage du certificat entière etc... Votre solution fonctionne réellement grand, en vertu de Kestrel. Je ne suis pas sûr de ce que le problème pourrait être sous IIS Express ou Azure Web App, mais vous pouvez probablement ouvrir un nouveau débordement de pile de thread sur ça.
    • Ce qui semble être pertinentes à votre problème avec Azure et ne pas obtenir les certificats clients. blogs.msdn.microsoft.com/kaevans/2016/04/13/...
    • Une fois que j'ai trouver comment obtenir que cela fonctionne dans Azure, je vais ajouter l'option de pouce d'impression. Le problème avec le pouce d'impression est que nous devons continuer de le mettre à jour lorsque les certificats de date d'expiration. Pour un des services qui a de nombreux partenaires, ce qui pourrait devenir pénible.
    • Voici un document sur la façon d'activer certs sur Azure Web App. msftplayground.com/2016/06/...
    • C'est vrai que la tenue de tous les pouces jusqu'à ce jour peut être plus de travail. À tout le moins, si vous devriez vous cherchez à faire de la chaîne de certificat de validation pour s'assurer que le certificat est valide pour une autorité de certification de confiance et ainsi de suite. Essentiellement, vous voulez être vraiment prudent de rouler avec votre propre certificat de validation. Il y a beaucoup de bonnes de bonnes pratiques sur ce utile de préciser.
    • J'ai ajouté un appel pour Vérifier() pour la chaîne de validation. msdn.microsoft.com/en-us/library/...
    • S'il vous plaît corrigez-moi si je me trompe gars mais permettant des certificats clients sur azure signifie qu'il sera nécessaire à n'importe quelle route dans toute la webapp. Il y a une demande de fonctionnalité pour changer ce comportement ici: feedback.azure.com/forums/169385-web-apps/suggestions/...

    InformationsquelleAutor Xavier John
  4. -1

    Il n'est pas nécessaire d'utiliser isolé (nouveau) IWebHost pour contrôler l'accès à des contrôleurs MVC.
    Utilisez simplement MVC Filtre à cette fin.

    InformationsquelleAutor mdn