证书验证失败：验证证书时客户端证书验证失败

2024-02-26

我正在尝试获得相互客户端认证以在 Azure 中工作。我正在使用以下配置运行一个网络应用程序：

public class Startup
{
    public Startup(IConfiguration configuration)
    {
        Configuration = configuration;
    }

    public IConfiguration Configuration { get; }

    // This method gets called by the runtime. Use this method to add services to the container.
    public void ConfigureServices(IServiceCollection services)
    {
        services
            .AddAuthentication(CertificateAuthenticationDefaults.AuthenticationScheme)
        .AddCertificate();

        services.AddCertificateForwarding(options =>
            options.CertificateHeader = "X-ARR-ClientCert");

        services.AddHttpClient();
        services.AddControllers();
    }

    // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
    public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
    {
        app.UseAuthentication();
        app.UseHttpsRedirection();
        app.UseRouting();
        app.UseCertificateForwarding();
        app.UseAuthorization();
        app.UseEndpoints(endpoints =>
        {
            endpoints.MapControllers();
        });
    }
}

作为扩展，我添加了这样的内容，以便 Web 应用程序将客户端证书发送到我的应用程序。当我部署它时，一切都很好。我前面有 cloudflare 并启用了 Origin Pull，我可以验证客户端证书是否已发送。我可以看到，当我尝试直接访问 azurewebsites.net 域上的 Web 应用程序时，我的浏览器要求提供证书。如果我尝试访问 Cloudflare，它将显示该网页。我以为这可行，但是当我检查日志时，我得到了这个：

2020-07-02 13:30:52.711 +00:00 [信息] Microsoft.AspNetCore.Hosting.Diagnostics：请求启动 HTTP/1.1 GET https://[已删除]/api/ping

2020-07-02 13:30:52.718 +00:00 [Trace] Microsoft.AspNetCore.HostFiltering.HostFilteringMiddleware：允许所有主机。

2020-07-02 13:30:53.107 +00:00 [警告] Microsoft.AspNetCore.Authentication.Certificate.CertificateAuthenticationHandler：证书验证失败，主题为 OU=Origin Pull，O="Cloudflare, Inc."，L=旧金山，S=加利福尼亚州，C=US.UntrustedRoot 已处理但终止于受信任提供商不信任的根证书的证书链。 ReplicationStatusUnknown 吊销功能无法检查证书的吊销。OfflineReplication 吊销功能无法检查吊销，因为吊销服务器已脱机。

2020-07-02 13:30:53.107 +00:00 [信息] Microsoft.AspNetCore.Authentication.Certificate.CertificateAuthenticationHandler：证书未经身份验证。失败消息：客户端证书验证失败。

2020-07-02 13:30:53.110 +00:00 [调试] Microsoft.AspNetCore.Routing.Matching.DfaMatcher：为请求路径“/api/ping”找到 1 个候选者

看来客户端证书未被接受。应该是吗？我的意思是，它是 Cloudflare。我的设置有问题吗？我应该在我这边安装一些额外的东西吗？我在这里浏览了本指南：https://support.cloudflare.com/hc/en-us/articles/204899617-Authenticated-Origin-Pulls https://support.cloudflare.com/hc/en-us/articles/204899617-Authenticated-Origin-Pulls并且它没有提及任何有关额外安装证书的内容。我应该在网络应用程序本身上安装 origin-pull-ca.pem 吗？

当我将发送给我的证书与 origin-pull-ca.pem 进行比较时，两者不相等：

origin-pull-ca.pem：指纹：1F5BA8DCF83E6453DD75C47780906710901AD641（其他信息：CN=origin-pull.cloudflare.net、S=加利福尼亚、L=旧金山、OU=Origin Pull、O="CloudFlare, Inc."、C=我们）
从 Cloudflare 发送：指纹：A27996CBA564D24731BC76439C48920C1F7D4AA3（附加信息：OU=Origin Pull、O="Cloudflare, Inc."、L=旧金山、S=加利福尼亚、C=美国）

他们不应该是平等的吗？

请注意：我不是证书、SSL 等领域的专家。我想在这里学习:)

我在这里问的问题完全相同https://community.cloudflare.com/t/manual-authenticated-origin-pulls-verification/145614 https://community.cloudflare.com/t/manual-authenticated-origin-pulls-verification/145614。不知道为什么，但 A27996CBA564D24731BC76439C48920C1F7D4AA3 它是正确的。

编辑：用链更新

public class CloudflareClientCertificateMiddleware
{
    private static X509Certificate2 _cloudflareOriginPullCert;
    private readonly RequestDelegate _next;

    public CloudflareClientCertificateMiddleware(RequestDelegate next)
    {
        _next = next;
    }

    public async Task Invoke(HttpContext context)
    {
        if (_cloudflareOriginPullCert == null)
            _cloudflareOriginPullCert = Helpers.CertificateHelper.GetCertificateInSpecifiedStore("origin-pull.cloudflare.net", StoreName.Root, StoreLocation.LocalMachine);

        bool isCloudflareCertificate = true;
        X509Certificate2 clientCertificate = context.Connection.ClientCertificate;

        using (X509Chain chain = new X509Chain())
        {
            chain.ChainPolicy.ExtraStore.Add(_cloudflareOriginPullCert);
            chain.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;
            // https://stackoverflow.com/questions/6097671/how-to-verify-x509-cert-without-importing-root-cert (Azure)
            //chain.ChainPolicy.VerificationFlags = X509VerificationFlags.AllowUnknownCertificateAuthority;

            // https://stackoverflow.com/a/7332193
            if (clientCertificate == null || chain.Build(clientCertificate) == false)
                isCloudflareCertificate = false;
            // Make sure we have the same number of elements.
            if (isCloudflareCertificate && chain.ChainElements.Count != chain.ChainPolicy.ExtraStore.Count + 1)
                isCloudflareCertificate = false;

            // Make sure all the thumbprints of the CAs match up.
            // The first one should be 'primaryCert', leading up to the root CA.
            if (isCloudflareCertificate)
            {
                for (int i = 1; i < chain.ChainElements.Count; i++)
                {
                    if (chain.ChainElements[i].Certificate.Thumbprint != chain.ChainPolicy.ExtraStore[i - 1].Thumbprint)
                        isCloudflareCertificate = false;
                }
            }
        }

        if (isCloudflareCertificate)
            await _next.Invoke(context);
        else
            context.Response.StatusCode = StatusCodes.Status403Forbidden;
    }
}

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

证书验证失败：验证证书时客户端证书验证失败的相关文章

ASP.NET Core中间件如何进行DI？

我正在尝试将依赖项注入到我的中间件构造函数中如下所示 public class CreateCompanyMiddleware private readonly RequestDelegate next private readonly
使用 JWT 通过 Asp.net core 进行 GraphQL 身份验证

我正在使用 NET 的 GraphQL https www nuget org packages GraphQL 2 0 0 alpha 912graphql 的包但我无法理解如何在 graphql 查询或突变中使用 JWT 进行身份验证
如何确保请求确实被CloudFlare代理？

在其中一个项目中我们使用 CloudFlare 及其cf connecting ip标头以获取访问者 IP 地址但我不确定这些信息是否可以完全信任例如一个不良用户以某种方式获得了我们服务器的真实IP 并直接连接到它将假IP地址添加
如何使用源链接调试asp.net core异步方法？

我正在尝试调试 asp net core 内部结构看看幕后发生了什么我根据这篇文章在VS Code中设置 net core调试 https github com OmniSharp omnisharp vscode wiki Debug
Docker：驱动器尚未共享

当 docker化时ASP NET Core 3 1 MVC应用程序我得到了以下结果 docker run dt v C Users admin vsdbg vs2017u5 remote debugger rw v D xxx yyy
.Net Core Nuget Package - 将文件复制到包消费者 wwwroot

我有一个 Net Core 2 2 库项目该项目包含的所有内容都是一堆静态文件其中构建操作设置为内容该项目的唯一目的是构建到 Nuget 包中并让任何消费者将包含的内容添加到他们的wwwroot folder 不幸的是当查看解
尚未注册类型“Microsoft.AspNetCore.Mvc...”的服务

我正在尝试测试此控制器方法以确保它重定向到另一个控制器方法或存在模型错误 public IActionResult ResetPassword ResetPasswordViewModel viewModel if viewModel N
在 iOS 上提升 Asio SSL 认证

我正在尝试在 iOS 上使用 Boost Asio 并且已经解决了所有问题但如何检查我正在连接的服务器的证书如何使用 Boost Asio 在 iOS 中检查连接服务器的证书在我的另一个答案中您可以看到一个简单的 SSL 客户端在
控制器方法无法捕获来自重定向的对象路由

我正在将数据从表单发送到我的Test方法和数据都在那里如果发生了一些错误那么我正在映射我的ModelInput to Model然后我执行重定向到MyView通过对象路由发送的数据由于某种原因在MyView param input为空
如何更改.net core的URL后缀？

我怎样才能有以下路线 http localhost 4413 abc 以及以下路线 http localhost 4413 abc html 两者都返回相同的控制器方法使用 NET Core MVC 听起来您想要两个后缀来达到相同的控制器
是否可以将 TeamCity 配置为使用 Visual Studio 2015 附带的 MSBuild？

我正在尝试在 TeamCity 中构建 ASP NET vNext 项目当它尝试构建时我收到以下错误 C MyApp kproj 7 3 error MSB4019 The imported project C Program File
如何在没有 (L)GPL 库的情况下在 Python 中创建双重身份验证 HTTPS 客户端？

客户端和服务器都是内部的各自都有一个由内部CA签名的证书和CA证书我需要客户端根据服务器拥有的 CA 证书来验证服务器的证书它还应该将其证书发送到服务器进行身份验证 The urllib2手册说不执行服务器身份验证 PycURL是一个
C# 通用应用平台中证书的公钥

在本文中https blogs windows com buildingapps 2015 10 13 create more secure apps with less effort 10 by 10 https blogs window
如何在 ASP.NET Core 中设置 cookie validateInterval？

我正在尝试设置validateInterval对于 ASP NET 5 RC1 应用程序它使用ASP NET Identity 3 我正在尝试实现代码this https stackoverflow com questions 33463
Asp.net core 2.1 OpenIdConnectOptions 范围不起作用

请告诉我为什么我无法添加任何范围OpenIdConnectOptions 它不适用于 ASP NET Core MVC 客户端但使用 js 客户端则可以正常工作我的代码身份服务器4客户注册 public static IEnumera
在 Razor Pages 中使用 @functions 块的错误和警告

因为 helperASP NET Core Razor Pages 不再支持指令我一直在使用 functions指令代替 functions void RenderTask Models Task task tr td class p c
如何从 Main 中获取 IConfiguration？

以下仅用于说明目的我有一个secrets json包含以下内容 Message I still know what you did last summer 我需要使用以下播种器为数据库播种 public static class Seed
在project.json .Net Core中本地管理nuget

我不想依赖 nuget 服务来下载依赖项我想在我的 Net Core 应用程序中本地下载并使用 nuget 包是否可以方法与之前相同打开您的NuGet config https docs nuget org consume nuge
如何在 ASP.NET Core Web API 中传递 int 数组

我有这个 Web API 方法 Route api controller ApiController public class SubjectsController ControllerBase HttpGet children publi
同一服务器上的多个.NET版本

所以我一直都知道在一台计算机客户端或服务器上运行多个版本的 NET 框架是可以的这个问题 https stackoverflow com questions 407306 running many versions of net on

随机推荐

对特定类的通用约束，为什么？ [复制]

这个问题在这里已经有答案了我一直在阅读有关利用泛型约束的内容我发现泛型可以被限制为struct class new Class and Interface 前三个背后的原因非常明显但我实在无法理解why and when约束到一个类
javascript中当数组键包含字符串时删除数组键

我在 javascript 中有一个数组如下所示 arr md51234 md55234 我试图通过执行以下操作从中删除一个项目 delete arr md51234 但这似乎不起作用还有其他方法可以删除这个吗 dystroy 提供了答
Java 日期和时间 API 有什么问题？ [关闭]

Closed 这个问题是基于意见的 help closed questions 目前不接受答案我经常遇到关于 Java 的负面反馈Date以及其他与日期时间相关的课程作为一名 NET 开发人员我无法完全没有使用过它们理解它们到底出
jQuery.Deferred 异常：$(...).datepicker 不是函数

提前致谢我已经搜索并实施了 document ready function ui datepicker datepicker and function if Modernizr inputtypes date input type dat
如何在Netty中使用多个ServerBootstrap对象

我正在尝试使用 Netty 4 0 24 在一个应用程序一个主要方法中创建多个服务器多个 ServerBootstrap 我看到了这个问题答案但它留下了许多未解答的问题 Netty 4 0多端口每个端口有不同的协议 https
如何在ejb 3.0中实现缓存？

我有一位客户陷入 EJB 3 0 环境中没有 Singleton 没有bean管理的并发考虑到ejb规范禁止线程管理和同步如何实现缓存本质上我想要一个非同步对象缓存来执行一些昂贵的操作 EJB 3 0 规范第 21 1 2 章中规
使用 Angular 14 在运行时动态导入模块

我试图在 Angular 14 中动态导入模块其中模块路径是在运行时设置的但出现以下错误 Error Cannot find module src app plugin1 plugin1 module Github 重现 https g
字符指针和整数指针 (++)

我有两个指点 char str1 int str2 如果我查看两个指针的大小我们假设 str1 4 bytes str2 4 bytes str1 将增加 1 个字节但如果 str2 将增加 4 个字节这背后的理念是什么很简单在提
System.Drawing.Bitmap 和 System.Windows.Media.Imaging.WriteableBitmap 之间的区别

2者有什么区别一些例子会很棒没有System Drawing Bitmap在银光中如果您要求在 NET 框架和WritableBitmap在 Silverlight 中差异是巨大的这WritableBitmap是位图的简单表示具
Swift Codable：如何将顶级数据编码到嵌套容器中

我的应用程序使用返回 JSON 的服务器如下所示 result OK data Common to all URLs user name John Smith ETC Different for each URL data for thi
通过 java 发送电子邮件超出每日发送配额

我有一个java应用程序通过我的gmail帐户发送电子邮件今天突然发现这个例外我猜是我的 Gmail 被屏蔽了那么解决这个问题的办法是什么呢 com sun mail smtp SMTPSendFailedException 550
是否可以在 Windows 中从 PHP 5 启用 VT100/ANSI 转义码

我正在将旧的 PHP 5 应用程序升级到 PHP 7 我使用 Codeception 进行单元测试因为它具有漂亮的颜色输出可以轻松查看所有测试是否已通过我尝试过的事情升级到 PHP 7 应用程序崩溃在没有特殊标志的情况下运行 Co
为什么 Node.js 没有捕获我的错误？

var api friends helper require helper js try api friends helper do stuff function result console log success catch err c
无法在 MinGW shell 中复制/粘贴

我刚刚在 Windows 上安装了 MinGW 但无法像在 Linux 甚至 PuTTY 上那样进行复制粘贴将文本例如从 chrome 复制并粘贴到 MinGW shell 中的技巧是什么右键单击命令窗口的标题栏并选择属性然后在
如何查找函数的多个定义

我写了一个 findDialog 来查找搜索的文本当我给予make命令它返回 g Wl O1 o findDialog FindDialog o main o moc FindDialog o L usr lib lQtGui lQtC
Angular ng-options 按问题跟踪

我有一个使用 ng options 显示的对象数据集我将对象 ID 值绑定到使用的值track by 目前数据值已包含在内但以逗号显示例如 scope items ID 2012 Title Chicago ID 2013 Titl
date-fns 中的解析函数返回前一天的值

我正在尝试使用 date fns 库解析日期但结果是前一天我怎样才能避免这种情况并获得正确的结果 start 2021 08 16 const parseStart parse start yyyy MM dd new Date out
scipy curve_fit 和局部最小值：尽快达到全局最小值

我手头的问题我正在使用scipy curve fit拟合一条曲线 https docs scipy org doc scipy reference generated scipy optimize curve fit html https
Docker 使用私有注册表拉/推，无需前缀

我们正在使用 Nexus3 docker groups 结合 dockerhub 代理和私有注册表又名 docker pull dockerproxy 5002 busybox 如果私有注册表中不存在则尝试从 dockerhub 中提取
证书验证失败：验证证书时客户端证书验证失败

我正在尝试获得相互客户端认证以在 Azure 中工作我正在使用以下配置运行一个网络应用程序 public class Startup public Startup IConfiguration configuration Configur

证书验证失败：验证证书时客户端证书验证失败

证书验证失败：验证证书时客户端证书验证失败 的相关文章

随机推荐

热门标签

证书验证失败：验证证书时客户端证书验证失败的相关文章