Можно ли использовать клиентские сертификаты в службах приложений Azure без специального домена?

Question

В целях тестирования я хотел бы включить параметр «Входящие клиентские сертификаты» в моей службе приложений Azure (с веб-службой WCF) и посмотреть, может ли мое клиентское приложение по-прежнему подключаться к веб-службе.Поскольку я все еще на стадии тестирования, у моей службы приложений все еще есть доменное имя .azurewebsites.net.

Однако я не могу понять, как получить надлежащий сертификат клиента, который будет принимать сервер(без переключения на собственное доменное имя, которое, я знаю, будет работать).

В настоящее время я вижу 2 возможных пути к решению:

1. Каким-то образом попадаю в руки .cer, подписанный центром сертификации, которому доверяет сервер службы приложений.
2. Создайте самоподписанные .pfx и .cer с моим собственным самоподписанным CA.Импортируйте файл pfx в службу приложений и установите .cer на клиенте.

Оба направления пока не принесли успеха.У кого-нибудь есть опыт с этим?

Answer 1

Насколько я понимаю, клиентский сертификат используется клиентскими системами для выполнения аутентифицированных запросов к удаленному серверу.В этом случае ваш веб-сервис является удаленным сервером в режиме C / S.Как вы указали, «проверка этого сертификата является обязанностью веб-приложения. Таким образом, это означает, что любой сертификат будет действителен до тех пор, пока вы ничего не проверяете».Это не влияет на то, есть ли у вас собственный домен или нет в службе веб-приложений.

Если вы хотите использовать проверку подлинности клиента с приложением Azure, вы можете обратиться к Как настроить взаимную проверку подлинности TLSдля веб-приложения.