L'Authentification du Client via les Certificats X509 dans asp.net

J'ai un asp.net application et j'ai besoin d'authentifier les utilisateurs à l'aide des certificats X509. Qui est, l'utilisateur doit installer un certificat délivré par moi, de sorte qu'il peut parcourir mon site et je peux identifier l'utilisateur qui est, par le présent certificat.

J'ai déjà configuré le protocole SSL dans IIS, mais ce n'est pas ce que je cherche pour l'instant, et je ne sais pas par où commencer.

Comment puis-je atteindre dans asp.net c#?

InformationsquelleAutor enb081 | 2013-02-18
  1. 23

    De créer un mécanisme d'authentification sécurisée vous utilisez à la fois les certificats de client et le nom d'utilisateur /mot de passe. La raison en est qu'un certificat est quelque chose qui peut être volé (copié), mais un mot de passe est quelque chose qui est seulement connue par la personne. Une alternative pourrait être d'un certificat sur carte à puce, protégée par un code PIN.

    À l'utilisation de certificats client dans ASP.NET les applications que vous devez faire ce qui suit:

    Étape 1: Dans le Gestionnaire des services IIS, ouvrez votre application ou site web, choisissez les Paramètres SSL et de choisir à la fois Exiger SSL et le Besoin de certificat Client.

    Maintenant, lorsque l'utilisateur ouvre votre site web, le navigateur va lui demander de sélectionner un certificat client qui sera utilisé dans la communication.

    Important À ce stade, vous devez vous assurer que le certificat est émis par une personne de confiance (puisque n'importe qui peut créer leurs propres certificats auto-signés).

    Étape 2: Ajouter un élément de configuration (web.config, base de données etc.). Dans cette liste, vous devez ajouter les empreintes digitales de l'ensemble de la CA (autorité de certification) de la chaîne de vos certificats de client.

    <add key="ClientCertificateIssuerThumbprints" value="4901f5b87d736cd88792bd5ef7caee91bf7d1a2b,0113e31aa85d7fb02740a1257f8bfa534fb8549e,c9321de6b5a82666cf6971a18a56f2d3a8675602"/>

    Étape 3: Créer un classique nom d'utilisateur /mot de passe de la page de login. Vérifiez le nom d'utilisateur/mot de passe.

    Étape 4: Ajoutez le code suivant à votre page de connexion:

    var x509 = new X509Certificate2(this.Request.ClientCertificate.Certificate);
var chain = new X509Chain(true);
chain.ChainPolicy.RevocationMode = X509RevocationMode.Offline;
chain.Build(x509);

var validThumbprints = new HashSet<string>(
    System.Configuration.ConfigurationManager.AppSettings["ClientCertificateIssuerThumbprints"]
        .Replace(" ", "").Split(',', ';'),
    StringComparer.OrdinalIgnoreCase);

//if the certificate is self-signed, verify itself.
for (int i = chain.ChainElements.Count > 1 ? 1 : 0; i < chain.ChainElements.Count; i++)
{
    if (!validThumbprints.Contains(chain.ChainElements[i].Certificate.Thumbprint))
        throw new UnauthorizedAccessException("The client certificate selected is not authorized for this system. Please restart the browser and pick the certificate issued by XXXXX");
}

//certificate Subject would contain some identifier of the user (an ID number, SIN number or anything else unique). here it is assumed that it contains the login name and nothing else
if (!string.Equals("CN=" + login, x509.Subject, StringComparison.OrdinalIgnoreCase))
    throw new UnauthorizedAccessException("The client certificate selected is authorized for another user. Please restart the browser and pick another certificate.");

    Uniquement lorsque le mot de passe et le certificat ont été cochée, l'utilisateur doit être autorisé dans le système.

    • Quel est le point du certificat si le client peut à l'exportation et l'installer où il veut? Nom d'utilisateur/mot de passe garantit que moi au sujet de l'authenticité de l'utilisateur, mais j'ai besoin de s'assurer de l'authenticité de la machine.
    • Un certificat peut être installé de sorte que les clés privées (requis pour l'authentification) ne peuvent pas être exportées. Certains ordinateurs portables vous permettent d'installer les certificats dans un microprocesseur. Une autre solution serait de stocker le certificat dans une carte à puce.
    • Si vous trouvez le certificat du client assez, vous l'utilisez à des fins d'authentification: iis.net/configreference/system.webserver/security/...
    • Je suis d'accord, je veux authentifier le poste de travail trop. Mais je pense que la solution pour moi serait d'utiliser l'un(privé) à de nombreux certificats de client, et de générer chacun des certificats clients avec des méta-données pour identifier les postes de travail(et les méta-données doivent être cryptées pour plus de sécurité).
    InformationsquelleAutor Knaģis
  2. 11

    En supposant que vous avez IIS 7.0 ou supérieur, vous pouvez configurer le Mappage de Certificat Client d'Authentification

    À L'Aide D'Active Directory (Extrêmement facile, laisse le travail de cartographie à l'AD server)

    <location path="Default Web Site">
   <system.webServer>
      <security>
         <access sslFlags="Ssl, SslNegotiateCert" />
          <authentication>
            <windowsAuthentication enabled="false" />
            <anonymousAuthentication enabled="false" />
            <digestAuthentication enabled="false" />
            <basicAuthentication enabled="false" />
            <clientCertificateMappingAuthentication enabled="true" />
         </authentication>
     </security>
   </system.webServer>
</location>

    Ou à l'aide de IIS (Plus besoin de configuration de IIS, les besoins d'accès au certificat de client, mais qui fonctionne de manière autonome, sans allers-retours à l'ANNONCE). Dans ce cas, vous indiquez (un ou plusieurs) des informations d'identification utilisateur et

    • carte à chaque utilisateur d'un certificat de la clé publique d'un utilisateur dont les informations d'identification que vous spécifiez, ou
    • carte de plusieurs certificats pour un utilisateur sur la base des valeurs dans le certificat de champs

    De Configuration (nombre de fois):

    <location path="Default Web Site">
   <system.webServer>
      <security>
         <authentication>
            <windowsAuthentication enabled="false" />
            <anonymousAuthentication enabled="false" />
            <digestAuthentication enabled="false" />
            <basicAuthentication enabled="false" />
            <iisClientCertificateMappingAuthentication enabled="true"
                  manyToOneCertificateMappingsEnabled="true">
               <manyToOneMappings>
                  <add name="Contoso Employees"
                        enabled="true"
                        permissionMode="Allow"
                        userName="Username"
                        password="[enc:AesProvider:57686f6120447564652c2049495320526f636b73:enc]">
                     <rules>
                        <add certificateField="Subject"
                           certificateSubField="O"
                           matchCriteria="Contoso"
                           compareCaseSensitive="true" />
                     </rules>
                  </add>
               </manyToOneMappings>
            </iisClientCertificateMappingAuthentication>
         </authentication>
         <access sslFlags="Ssl, SslNegotiateCert" />
      </security>
   </system.webServer>
</location>

    (Exemple de configuration plutôt copié sans vergogne à partir des échantillons sur le iis.net pages de documentation, qui sont très élaborés.)

    Ou vous pouvez configurer votre application pour utiliser l'Authentification Basée sur les Revendications avec un Service de Jeton de Sécurité (STS) qui permet d'authentifier les clients sur la base de certificats client. ADFS 2.0 peut remplir ce rôle, ou si elle n'est pas disponible, vous pouvez consulter la Thinktecture Serveur D'Identité.

    • rien de nouveau pour le Réseau core 2.0 ?
    • comment pouvons-nous faire dans .net core 2.x ?
    InformationsquelleAutor flup