Программно установить привязку, чтобы требовать согласования сертификата клиента в iis - PullRequest
Новая
       20

Программно установить привязку, чтобы требовать согласования сертификата клиента в iis

6 голосов
/ 10 августа 2011

Как мне добиться эквивалента установки clientcertnegotiation = включить с помощью netsh из приложения, использующего C # (без выполнения командной строки). 

netsh http add sslcert ipport=0.0.0.0:8000 certhash=2064a43f429fe97746ce0c1c9adcd4ea93415f6d appid={4dc3e181-e14b-4a21-b022-59fc669b0914} clientcertnegotiation=enable

Следующий код успешно добавляет сертификат 

using (var manager = new ServerManager())
        {
            var siteBindings = from s1 in manager.Sites
                               from b1 in s1.Bindings
                               where b1.Protocol.Equals("https")
                               select new {SiteName = s1.Name, Binding = b1};

            foreach (var siteBinding in siteBindings)
            {
                siteBinding.Binding.CertificateHash = cert.GetCertHash();
            }

            // This is correctly setting the values on the Ssl Cert configuration section in IIS
            var config = manager.GetApplicationHostConfiguration();
            var accessSection = config.GetSection("system.webServer/security/access", "WebActivationService");
            accessSection["sslFlags"] = @"Ssl, SslRequireCert";

            manager.CommitChanges();
        }

но при запуске netsh http show sslcert покажет, что он отменяет согласование сертификата клиента 

IP:port                 : 0.0.0.0:8000
Certificate Hash        : 2064a43f429fe97746ce0c1c9adcd4ea93415f6d
Application ID          : {4dc3e181-e14b-4a21-b022-59fc669b0914}
Certificate Store Name  : MY
Verify Client Certificate Revocation    : Enabled
Verify Revocation Using Cached Client Certificate Only    : Disabled
Usage Check    : Enabled
Revocation Freshness Time : 0
URL Retrieval Timeout   : 0
Ctl Identifier          : (null)
Ctl Store Name          : (null)
DS Mapper Usage    : Disabled
Negotiate Client Certificate    : Disabled

удаление и повторное создание привязки имеет тот же эффект

Ответы [ 3 ]

1 голос
/ 16 февраля 2012

из windows server 2003 + можно использовать следующее: 

ULONG HttpSetServiceConfiguration(
  __in  HANDLE ServiceHandle,
  __in  HTTP_SERVICE_CONFIG_ID ConfigId,
  __in  PVOID pConfigInformation,
  __in  ULONG ConfigInformationLength,
  __in  LPOVERLAPPED pOverlapped
);

http://msdn.microsoft.com/en-us/library/windows/desktop/aa364503(v=vs.85).aspx

0 голосов
/ 10 августа 2011

Вы хотите включить проверку сертификата клиента, используя пример, описанный в https://www.iis.net/ConfigReference/system.applicationHost/sites/site/ftpServer/security/sslClientCertificates.

Вам необходимо установить clientCertificatePolicy в CertRequire для сбоя соединений, не прошедших проверку подлинности клиента. В зависимости от того, хотите ли вы сопоставить сертификат действительному пользователю Windows, вам нужно установить для useActiveDirectoryMapping правильное значение.

0 голосов
/ 10 августа 2011

мне кажется, что отсутствуют некоторые важные настройки ... пример кода относительно того, как сделать это с некоторым объяснением, см. http://www.iis.net/ConfigReference/system.webServer/security/authentication/iisClientCertificateMappingAuthentication#006

...