Comment utiliser le certificat de rappel dans SslStream.AuthenticateAsClient méthode?

Mon C#.NET connexion SSL fonctionne quand je importer le certificat manuellement dans IE (Outils/Options Internet/Contenu/Certificats), mais comment puis-je charger le certificat par le code?
Voici mon code:

TcpClient client = new TcpClient(ConfigManager.SSLSwitchIP, Convert.ToInt32(ConfigManager.SSLSwitchPort));

SslStream sslStream = new SslStream(
                client.GetStream(),
                false,
                new RemoteCertificateValidationCallback(ValidateServerCertificate),
                null
                );
sslStream.AuthenticateAsClient("Test");

Le code ci-dessus fonctionne très bien si je importer mon fichier de certificat manuellement dans Internet Explorer. Mais si je retirer mon certificat d'IE et d'utiliser le code suivant à la place, j'obtiens l'Authentification exception:

sslStream.AuthenticateAsClient("Test", GetX509CertificateCollection(), SslProtocols.Default, false);

et ici est le " GetX509CertificateCollection méthode :

public static X509CertificateCollection GetX509CertificateCollection()
        {
            X509Certificate2 certificate1 = new X509Certificate2("c:\\ssl.txt");
            X509CertificateCollection collection1 = new X509CertificateCollection();
            collection1.Add(certificate1);
            return collection1;
        }

Que dois-je faire pour charger mon certificat dynamiquement?

OriginalL'auteur losingsleeep | 2012-09-29

  1. 4

    De construire sur owlstead réponse, voici comment j'ai utiliser un seul certificat d'autorité de certification et une coutume de la chaîne dans la vérification de rappel pour éviter de Microsoft store.

    J'ai pas compris comment utiliser cette chaîne (chain2 ci-dessous) par défaut tels qu'il n'est pas nécessaire pour le rappel. C'est, de l'installer sur le socket ssl et la connexion ne "fonctionne". Et j'ai pas compris comment l'installer de telle sorte que son passé dans la fonction de rappel. C'est, je dois construire la chaîne pour chaque invocation de la fonction de rappel. Je pense que ce sont architectural défauts .Net, mais j'ai peut-être raté quelque chose d'évident.

    Le nom de la fonction n'a pas d'importance. Ci-dessous, VerifyServerCertificate est le même rappel que RemoteCertificateValidationCallback. Vous pouvez également l'utiliser pour le ServerCertificateValidationCallback dans ServicePointManager.

    static bool VerifyServerCertificate(object sender, X509Certificate certificate,
    X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
    try
    {
        String CA_FILE = "ca-cert.der";
        X509Certificate2 ca = new X509Certificate2(CA_FILE);

        X509Chain chain2 = new X509Chain();
        chain2.ChainPolicy.ExtraStore.Add(ca);

        //Check all properties
        chain2.ChainPolicy.VerificationFlags = X509VerificationFlags.NoFlag;

        //This setup does not have revocation information
        chain2.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;

        //Build the chain
        chain2.Build(new X509Certificate2(certificate));

        //Are there any failures from building the chain?
        if (chain2.ChainStatus.Length == 0)
            return true;

        //If there is a status, verify the status is NoError
        bool result = chain2.ChainStatus[0].Status == X509ChainStatusFlags.NoError;
        Debug.Assert(result == true);

        return result;
    }
    catch (Exception ex)
    {
        Console.WriteLine(ex);
    }

    return false;
}

    OriginalL'auteur jww

  2. 3

    Un rapide sur Google m'a indiqué un morceau de texte à partir de Microsoft SslStream classe.

    L'authentification est gérée par le Fournisseur de Support de Sécurité (SSPI)
    fournisseur du canal. Le client a la possibilité de contrôler
    la validation du certificat du serveur en spécifiant un
    RemoteCertificateValidationCallback délégué lors de la création d'un
    SslStream. Le serveur peut également contrôler la validation par la fourniture d'une
    RemoteCertificateValidationCallback délégué. La méthode référencée par
    le délégué comprend la partie éloignée du certificat et de toutes les erreurs
    SSPI rencontrés lors de la validation du certificat. Notez que si l'
    serveur spécifie un délégué, le délégué de la méthode est invoquée
    indépendamment de si le serveur demande une authentification client. Si
    le serveur n'a pas demander l'authentification du client, du serveur
    délégué méthode reçoit un certificat blanc et un tableau vide de
    les erreurs de certificat.

    Donc simplement de mettre en œuvre le délégué et faire la vérification de vous-même.

    je vous remercie. Je l'ai fait avant, mais il a des erreurs, si je n'ai pas ajouté le certificat racine de magasin. au fait, comment puis-je vérifier à distance certificat? quel est le manuel d'instructions de contrôle et les règles?
    Vous avez mis en œuvre la fonction de rappel et quand il est revenu true il n'a toujours pas de travail? Vraiment?
    Oui. Ce que j'ai compris , quand je l'appelle "AuthenticateAsClient" méthode .NET ne handshake SSL à l'aide des touches "Autorités de Certification Racine approuvées" (Internet Explorer/Outils/Options Internet/Contenu/Certificats) qui est appelée la RACINE lorsque nous avons envie de l'ajouter dans le code. Et si le besoin de la clé publique n'existe pas là .NET du programme de contrôle va dans le "RemoteCertificateValidationCallback" méthode de rappel avec quelques erreurs, et si je vérifie le certificat distant manuellement et renvoie "true" dans la méthode, pas de problème comme "AuthenticationException" va se produire. Quelles sont donc les règles de vérification?
    Eh bien, c'est à vous. Vous devriez au moins vérifier une chaîne à un certificat de confiance (mais que la chaîne peut être un cert de long). Ensuite, il serait sage de vérifier que la date actuelle est à l'intérieur de la période de validité. Puis il y a la touche usages et d'autres éléments étendus. À cet égard, il est une solution, mais pas une solution de facilité.

    OriginalL'auteur Maarten Bodewes

  3. 2

    J'ai écrit une autre méthode pour ajouter mon certificat de Autorités de Certification Racine approuvées (racine) avant de tenter de s'authentifier en tant que client via SSLStream objet:

    public static void InstallCertificate()
    {
        X509Store store = new X509Store(StoreName.Root, StoreLocation.LocalMachine);
        store.Open(OpenFlags.ReadWrite);
        string fileName = "sslcert.pem";
        X509Certificate2 certificate1;
        try
        {
            certificate1 = new X509Certificate2(fileName);
        }
        catch (Exception ex)
        {
            throw new Exception("Error loading SSL certificate file." + Environment.NewLine + fileName);
        }

        store.Add(certificate1);
        store.Close();
    }

    Et puis: 

    InstallCertificate();
sslStream.AuthenticateAsClient("Test");

    Il fonctionne très bien sans les avertissements ou des erreurs. Mais la base de la question reste encore sans solution:

    Comment puis-je utiliser un certificat pour s'authentifier en tant que client sans l'installer dans Windows?

    "Comment puis-je utiliser un certificat pour s'authentifier en tant que client sans l'installer dans Windows?" - voir la réponse ci-dessous. Il s'appuie sur owlstead de réponse.

    OriginalL'auteur losingsleeep