У меня есть веб-приложение .NET на основе Azure, которое мы пытаемся подключить к локальной среде ADFS клиента. Мы можем получить доступ к ресурсу через гибридное соединение Azure, но когда мы пытаемся получить заголовок аутентификации из ADFS, мы получаем ошибку сертификата.
После некоторых копаний мы обнаружили, что они не используют сертификат от доверенного корневого ЦС, а вместо этого используют самозаверяющий сертификат. Клиент отправил нам свой сертификат корневого центра сертификации (вместе с промежуточными) и просит нас доверить это нашему приложению Azure.
1) Возможно ли это?
2) Есть ли в этом какие-либо угрозы безопасности?
Я нашел этот документ о добавлении сертификатов в службу приложения, но не думаю, что он будет «доверять» любым сертификатам, подписанным их сертификатом корневого ЦС, и вместо этого доверяет только этому сертификату.
https://docs.microsoft.com/en-us/azure/app-service/app-service-web-ssl-cert-load
Я также нашел этот вопрос, который относится к 2015 году, и мне было любопытно, изменился ли этот ответ с тех пор.
Как можно доверять сертификату корневого центра сертификации Active Directory в веб-приложении Azure?
И фактическая ошибка, которую мы получаем при попытке подключиться к их ADFS в настоящее время:
Информация о System.Net: 0: [13800] SecureChannel # 55196503 - Удаленный
сертификат имеет ошибки:
Информация о System.Net: 0: [13800] SecureChannel # 55196503 - A
Цепочка сертификатов не может быть построена для доверенного корневого центра.
Информация о System.Net: 0: [13800] SecureChannel # 55196503 - Удаленный
сертификат был признан недействительным пользователем.
Ошибка System.Net: 0: [13800] Исключение в HttpWebRequest # 44115416 :: -
Основное соединение было закрыто: не удалось установить доверие
отношения для безопасного канала SSL / TLS ..