問題タブ [client-certificates]

これまでIIS6/7でのみ実行されてきた.NETWebサービスをmod_monoでセットアップしようとしています。

1つの小さな詳細を除いて、ほとんどが正常に機能します。HTTPSを介して接続が確立されると、Webサービスはクライアント証明書をログに記録することになっています。

Apacheサーバーをmod_sslで実行していて、クライアント証明書を使用してサービスに正常に接続できます。IIS 7でWebサービスを検証し、クライアント証明書が存在する場合はそれを取得できることを確認しました。

ClientCertificate.IsPresentmod_monoでは常にfalseを返すようです。いくつかのグーグルは、これが過去の問題であったことを明らかにしています（XPSでのみ正しく機能していました）。私は何かを誤って構成したと信じたいです:-)誰かが私を正しい方向に向けてくれませんか？

よろしく、エミル

IIS 7.5 でホストされている ASP.NET Web アプリケーションで呼び出す必要がある WCF サービスがあります。この WCF サービスは、クライアント証明書でトランスポート セキュリティを使用します。mmc を使用して「ローカル コンピューター/個人」ストアの場所にインストールしたクライアント証明書が提供されます。.pfx は、秘密鍵付きのクライアント証明書の CA である 2 つの他の証明書 (秘密鍵なし) をインストールしました。将来、同じ Web サービスで他の証明書を使用する可能性があるため、実行時に証明書を割り当てます。

ApplicationPoolIdentity で実行されている Web アプリケーションの場合、Web サービスを呼び出すと、クライアント証明書をまったく渡していないかのように、内部 WebException (403 Forbidden) で MessageSecurityException がスローされます。実際に有効な証明書を設定しないと、構成で要求された場合に InvalidOperationException が発生します。管理者アカウントで実行すると、例外はスローされません。ApplicationPoolIdentity の下で Web サービスを呼び出せるようにする必要があります。

編集：証明書チェーンがここで問題になる可能性があると思います...

私がこれまでに試したこと：

1. MMC: MyCertificate -> All Tasks -> Manage Private Keys... IIS_IUSRS に秘密鍵を管理する権限を与えました
2. C:\ProgramData\Microsoft\Crypto\RSA の IIS_IUSRS への読み取りアクセスを追加しました
3. System.Net トレースを使用し、ApplicationPoolIdentity と管理者アカウントのログを比較しました。「 We have user-provided certificates. The server has specified 24 issuer(s. Looking for certificates that match any of the issuers.」行の後の特定のポイントまで、すべてが同じように見えます。

ApplicationPoolIdentity ログ:

管理者アカウント ログ:

クライアント証明書を使用してHTTPS経由でのみアクセスを提供するリモートGitリポジトリを使用しようとしています。私は（ついに...）動作するようになりましたが、今は小さな問題が発生しています-リモートに触れるたびに、Gitは証明書のパスフレーズを要求します。明らかに、これは早く古くなります。

SSHを使用している場合は、公式ガイドに従ってクレデンシャルを提供できますssh-agent。しかし、AFAICTでは、Git（またはGitが内部でスタブしていると思うライブラリであるCurl）にssh-agentを使用してHTTPS接続の資格情報にアクセスさせる方法はありません。また、パスフレーズのためにこれら2つのいずれかを結び付けても問題gnome-keyringありませんが、どちらのアプローチについてもオンラインで何も見つかりませんでした。

できますか？サーバー管理者にSSHアクセスをオンにするように話しかけることができるかもしれません。これですぐに解決できると思いますが、それまでの間、HTTPSのパスフレーズを保存するように取得できれば簡単です。

以下を使用して、クライアント証明書認証を使用するように Apache2 を構成しました。

うまくいきました。有効なクライアント証明書で自分のサイトにアクセスできます。ただし、ユーザーが ClientCertificate をインストールせずに接続すると、ブラウザーから紛らわしいエラーが表示されます。

(Chrome では「ERR_SSL_PROTOCOL_ERROR」、Firefox では「ssl_error_handshake_failure_alert」、Internet Explorer では「Internet Explorer は Web ページを表示できません」としか表示されません。

ユーザーが有効なクライアント証明書なしでアクセスしようとしたときに、カスタム ErrorDocument を表示したいと考えています。

問題は、サイトが http エラー コードを返さないことですが、リクエストを中止するため、Apache の「ErrorDocument」を使用できません。

ssl_error_log の最後の部分は次のとおりです。

これに対して有効な ErrorDocument を返すにはどうすればよいですか?

次のコードがあります

.NET 3.5 では動作しますが、.NET4.0 では動作しません。ビザールか？私が使用している証明書は、ローカル マシン (チェーンなし) で検証されません。3.5 では、クライアント証明書の有効性は SSL の確立には関係ありませんが、4.0 に移行すると、証明書は SSL に使用される前に検証されます。(CAPI2 イベント ログにエラーが表示されます)。醜い SecurityNegotiationException が発生します...

スタックトレース：

私たちのセキュリティ アーキテクチャでは、証明書はサーバー上の LDAP ディレクトリに対して検証されるため、クライアントが完全なチェーンを知る必要はありません。

質問は、この新しい動作を無効にするにはどうすればよいですか?

Web アプリ用に独自の MembershipProvider を作成することを考えていました。人々は通常登録しませんが、ログイン情報が提供されます。メンバーシップは正しいことではないでしょうか？

私にはまだいくつかの役割があり、通常のログインの代わりに ClientCertificate を使用して認証できるようにしたくない場合があります。私はまだ彼らがメンバーシップを確認したくなくて（私が使用できる証明書とデータベースに識別可能なフィールドがあります）、ロールなどを使用したくありません。

MembershipProvider は、おそらく元のログイン認証でのみ使用され、承認では使用されませんか?

ユーザーが検証されたときに特別なことは何も起こらないように見えるので、承認属性は誰が承認されているかをどのように知っていますか?

私は次の設定をしています：

SSLクライアント証明書を必要とするサーバーが2つあります。証明書は認証に使用されます。

ユーザー（ブラウザーを使用）は、クライアント証明書を使用してServer1に要求を行います。ここまでは順調ですね。さて、私がやりたいこと：Server1はServer2にリクエストを行い、そのレスポンスを解析してユーザーに返します。

Server1はphp_curlを使用してリクエストを実行します。Server1に（ユーザーの）元のクライアント証明書をServer2（ユーザーを検証する..）に渡してもらいたい。Server1は、ユーザーに代わって'投稿します。

これは可能ですか？

ApacheではExportCertDataSSLOptionが有効になっています。私はすでに次のヘッダーをcurlオプションに追加しようとしました（これはクライアント証明書を使用したApacheプロキシのセットアップとほぼ同じであると考えています）。

しかし、それらには運がありません。

x509 がどのように機能するのかよくわかりません。

クライアントを認証および検証する必要がある Web サービスがあり、彼が ClientCertificate を使用している場合、彼は私が検証できる情報を送ってくれますか?

私はウェブサイト自体を作成していないので、彼らがそれを正しく行うかどうか確信が持てません. 誰かが Web サービスに「大丈夫、私は彼を ClientCertificated しました。彼は良い人です」と言うのを許したくありません。

Web.configファイルには、この情報があります

他にどのようなモードを設定できますか？複数のモードを設定できますか？

一部のユーザーはusername/passを使用してログオンでき、他のユーザーはx509clientCertを使用してログオンできます。

これに関する情報はどこにありますか？

実際、質問のタイトルがほとんどすべてを物語っています。request.env以前の Rails (2.x) では、ハッシュを介してクライアント証明書の詳細にアクセスするコードを見てきました。私のラックアプリは引数で受信callしていenvますが、このデータはありません。どうすればアクセスできますか?