UWP Windows应用商店应用上的TLS客户端证书身份验证

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了UWP Windows应用商店应用上的TLS客户端证书身份验证相关的知识,希望对你有一定的参考价值。

我正在尝试连接到使用TLS和客户端证书身份验证的服务器。以下是代码段:

async Task TestClientCertAuth()
{
    int iWinInetError = 0;
    Uri theUri = new Uri("http://xxx-xxx");
    try
    {
        using (HttpBaseProtocolFilter baseProtocolFilter = new HttpBaseProtocolFilter())
        {
            // Task<Certificate> GetClientCertificate() displays a UI with all available 
            // certificates with and returns the user selecter certificate.  An 
            // oversimplified implementation is included for completeness.
            baseProtocolFilter.ClientCertificate = await GetClientCertificate();
            baseProtocolFilter.AllowAutoRedirect = false;
            baseProtocolFilter.AllowUI = false;
            using (HttpClient httpClient = new HttpClient(baseProtocolFilter))
            using (HttpRequestMessage httpRequest = new HttpRequestMessage(HttpMethod.Get, theUri))
            using (HttpResponseMessage httpResponse = await httpClient.SendRequestAsync(httpRequest))
            {
                httpResponse.EnsureSuccessStatusCode();

                // Further HTTP calls using httpClient based on app logic.
            }
        }
    }
    catch (Exception ex)
    {
        iWinInetError = ex.HResult & 0xFFFF;
        LogMessage(ex.ToString() + " Error code: " + iWinInetError);
        throw;
    }
}

// Task<Certificate> GetClientCertificate() displays a UI with all available 
// certificates with and returns the user selecter certificate.  An 
// oversimplified implementation is included for completeness.
private async Task<Certificate> GetClientCertificate()
{
    IReadOnlyList<Certificate> certList = await CertificateStores.FindAllAsync();
    Certificate clientCert = null;
    // Always choose first enumerated certificate.  Works so long as there is only one cert
    // installed and it's the right one.
    if ((null != certList) && (certList.Count > 0))
    {
        clientCert = certList.First();
    }
    return clientCert;
}

SendRequestAsync调用抛出HRESULT 0x80072F7D的异常 - 我相信这意味着ERROR_INTERNET_SECURITY_CHANNEL_ERROR。服务器证书信任没有问题。客户端证书安装在应用程序本地存储中,我可以使用CertificateStores.FindAllAsync检索它。查看SSL跟踪,我可以看到没有发送客户端证书。

如果HttpBaseProtocolFilter.AllowUI设置为true,则不会发生上述问题。在这种情况下,SendRequestAsync调用会导致显示UI,要求同意使用客户端证书。在此对话框中选择“允许”后,我可以看到在跟踪中发送的客户端证书和证书验证消息,并且连接已成功建立。

问题:应用程序代码已经处理了用户选择的证书。我想知道是否有任何方法可以指定以编程方式使用客户端证书的同意。因为启用AllowUI会导致其他副作用 - 例如,如果服务器使用WWW-Authenticate:Basic标头重新构建401 HTTP代码,则基本protoctol过滤器会弹出它自己的UI以接受用户凭据,而不会给调用者带来机会处理它。想要避免上述两个UI,因为我已经选择了客户端证书并从具有自己UI的用户获取了凭据。谢谢

答案

Microsoft Blog Entry提供有关在AllowUI为false时发生此错误的原因的信息并提供解决方法。在任何情况下都不能绕过证书同意UI,因此这是欧盟必须经历的事情。似乎Windows Phone上的行为也不同。试过这个解决方案,它似乎适用于桌面和表面。一般的想法是通过尝试访问私钥来“填充”当前应用程序会话中的低级API使用的证书。在这种情况下,我们只是尝试签署一些虚拟数据。一旦欧盟授予对证书的访问权限,TLS会话建立就会成功完成。需要检查它在Windows Phone上的行为方式。

    private async Task<bool> RequestCertificateAccess(Certificate cert)
    {
        bool signOK = false;

        try
        {
            IBuffer data = CryptographicBuffer.ConvertStringToBinary("ABCDEFGHIJKLMNOPQRSTUVWXYZ012345656789", 
                BinaryStringEncoding.Utf8);

            CryptographicKey key = await PersistedKeyProvider.OpenKeyPairFromCertificateAsync(cert,
                HashAlgorithmNames.Sha1, CryptographicPadding.RsaPkcs1V15);

            IBuffer sign = await CryptographicEngine.SignAsync(key, data);

            signOK = CryptographicEngine.VerifySignature(key, data, sign);
        }
        catch (Exception ex)
        {
            LogMessage(ex.ToString(), "Certificate access denied or sign/verify failure.");
            signOK = false;
        }
        return signOK;
    }

可以在基本协议过滤器上设置客户端证书之前调用RequestClientCertificateAccess。

@Tomas Karban,感谢您的回复。我没有使用sharedUserCertificates,因此如果我理解正确的话,我可以枚举的任何证书都必须在应用程序的证书库中。如果您还没有看到,我分享的链接可能对您的案例有所帮助。

另一答案

我认为你没有将证书存储在应用程序自己的证书库中。如果您设置HttpBaseProtocolFilter.AllowUI = true并确认对话框,则应用程序将获得使用用户存储中的私钥的权限。如果没有UI确认,应用程序只能使用自己的证书存储中的私钥。

Windows 10 Mobile的情况更糟 - 据我所知,你无法将HttpBaseProtocolFilter.AllowUI设置为true(请参阅我的问题Cannot set HttpBaseProtocolFilter.AllowUI to true on Windows 10 Mobile)。这留下了使用应用程序自己的证书库的唯一选择。

以上是关于UWP Windows应用商店应用上的TLS客户端证书身份验证的主要内容,如果未能解决你的问题,请参考以下文章

网易云音乐win10uwp版啥意思

Windows 应用商店是不是接受用于 UWP 应用程序的 appxbundle?

与另一个组织的员工共享 Windows 10 商店 uwp 应用程序

将 UWP 应用程序提交到 Windows 应用商店时出现错误 1300

Windows10 LTSB/LTSC版安装应用商店与UWP

如何通过 Azure Devops 将 UWP 包发布到 Windows 应用商店?