具有可选ClientCertificate的SslStream AuthenticateAsServer

debugcn 发表于 Dev

斯蒂金·范·安特卫普（Stijn Van Antwerp）

考虑SslStream.AuthenticateAsServer方法，第二个参数clientCertificateRequired：

如果将其设置为true，则需要客户端证书。如果没有，它将引发异常。客户端证书将在属性RemoteCertificate中可用。

当设置为false时，不需要客户端证书，属性RemoteCertificate应始终为null。即使客户端提供了一个。

我要完成的工作是让客户决定是否提供证书。但是，如果他们确实提供了一个，我希望在服务器上知道它。

我尝试先将变量设置为true，如果失败，则回退以不需要证书。但是，这将导致“已通过身份验证的异常”。

try{
        sslStream.AuthenticateAsServer(x509certificate, true, SslProtocols.Tls, true);
}catch(Exception ex){
        sslStream.AuthenticateAsServer(x509certificate, false, SslProtocols.Tls, true);
}

神F

我坚信这是文档缺陷。

实际上，该参数clientCertificateRequired将控制是否忽略客户端证书。这表示：

clientCertificateRequired = false将忽略服务器端的任何客户端证书。不会检查证书的存在或有效性。

clientCertificateRequired = true将尊重服务器端发送的所有客户端证书。如果缺少客户端证书SslPolicyErrors.RemoteCertificateNotAvailable，则在使用默认实现时，将调用验证回调，从而导致捕获异常。

因此，在您的情况下：设置clientCertificateRequired为true并实现自定义验证回调，如下所示：

var client = server.AcceptTcpClient()
var networkStream = client.GetStream()

var sslStream = new SslStream(
    networkStream,
    false,
    (sender, certificate, chain, errors) =>
    {
        if (errors == SslPolicyErrors.None)
        {
            return true;
        }

        if (errors == SslPolicyErrors.RemoteCertificateNotAvailable)
        {
            // seems to be okay for you
            return true;
        }

        return false;
    },
    (sender, host, certificates, certificate, issuers) => x509certificate
);

sslStream.AuthenticateAsServer(x509certificate, true, SslProtocols.Tls, true);

本文收集自互联网，转载请注明来源。

如有侵权，请联系[email protected] 删除。