企业自颁布服务器证书的有效性验证(C#为例)

栏目:APP代上架 时间:2019-04-02 09:46 作者:35tui.cn
目前根据项目的需要,整理了一下公司内部的安全通信规范,将其中涉及证书验证的部分分享出来,供探讨。 处于通信安全的考虑,很多通过互联网进行的通信, 原则上均要求使用加密通信,即采用基于SSL或TLS的安全通信。对于Web应用及Web API来说,原则上应该一律使用HTTPS,禁用HTTP;对于Socket通信来说,原则上应采用SSL协议加密传输。 APP代上架
基于SSL协议,需要服务器证书。对于Web应用及Web API(统称站点),原则上应使用由全球可信机构颁发的证书。但是考虑到证书费用、站点条件等一些因素,对于下列情形,可考虑使用自颁发证书:
 
1.      站点只在特定局域网、专网内部署使用;
 
2.      站点只有IP地址,没有注册域名;
 
3.      站点所有者不愿意支付证书费用。
 
 
 
若考虑企业自己建个证书颁发机构(CA),那就涉及到客户端对服务器证书的验证问题。目前很多人提到的做法都是实现自定义验证,但所谓的自定义验证就是直接返回true。这样处理,虽然能进行HTTPS加密通信,但由于实际上未对服务器证书做任何验证,因此是存在中间人攻击风险的。
 
本人研究了一下这个问题,发现针对.net开发,在中文网站上似乎没有很好的实现建议,因此才想到整理这篇博文和大家分享我们的做法,欢迎各位大拿批评指正。
 
首先,要使用自颁发证书实现HTTPS通信,最好是要对企业自己的CA做一个统一管理,CA必须具有唯一性,并且CA一旦建立,原则上应保证永不更改,从而保证企业CA的权威性。CA的权威性,是通信过程中对服务器证书进行可信验证、防止中间人攻击的基础。
 
其次,对自颁发证书的申请与获取,也要遵循一定的原则,主要是证书的使用者要和实际站点IP地址或域名一致,另外根据需要考虑证书有效期问题。
 
最后,就是在客户端对服务器证书的有效性验证了。我们将这个问题分为两部分:
 
(一)Web应用(网站)
 
对于Web应用来说,都是通过浏览器访问,而浏览器对证书的验证过程我们是无法干预的。对于自颁发证书,浏览器会提示证书无效。对于这个问题,我们的做法是参考铁总12306网站的做法:
 
将我们的CA证书即根证书(公钥)文件通过某种途径,发送给所有用户,要求用户将根证书安装到“受信任的根证书颁发机构”。从而防止中间人攻击。
(二)Web API
 
Web API均为某种客户端程序调用,调用接口需做业务权限验证。因此对于证书的验证,是在自研程序中执行。
 
对于自颁发证书,各研发平台的默认验证肯定是不通过的,有两种方式:
 
1、             跟Web网站一样,要求所有客户端设备(电脑、终端设备)均将我们的根证书安装到可信证书区域,从而可使用默认的验证方式,代码不用做任何额外处理。但这种方式,会有一定局限性,很多时候不大可行。
 
2、             将根证书集成到项目中,通过代码实现自定义验证。自定义验证项目包括:
 
a)        构建证书链,看服务器证书是否能链接到我们的根证书;这里对于不同的开发语言,处理可能不同。在C#中,需要将我们的根证书放到链引擎可搜索到的地方,然后设置合适的链策略,再重新构建证书链。
 
b)        上述验证通过后,验证服务器证书的使用者是否就是当前请求Uri的主机地址(IP或域名),是则通过验证;否则就是A地址的证书,用在了B地址的网站上。
 
服务器证书的有效期可以不用验证。由于默认的有效期是1年,如果验证有效期的话,则服务器证书每年都要更新,对于自颁发证书,没有这个必要,就让它永远有效。
 
 
如果客户端是C#,可以按如下方式进行验证:
 
根据项目情况做一些初始化,比如初始化根证书等。
 
static String caFilePath = "D:\\…….cer"; //本地根证书路径
static X509Certificate2 ca; //本地根证书对象
WebRequestHandler wrh;
wrh = new WebRequestHandler();
wrh.ServerCertificateValidationCallback += RemoteCertificateValidate;
 
if (File.Exists(caFilePath))
{
    ca = new X509Certificate2(caFilePath); 
}
使用该WebRequestHandler处理Https连接,以便实现自定义证书验证
HttpClient client = new HttpClient(wrh);
……
自定义验证的实现:
private bool RemoteCertificateValidate(object sender, X509Certificate cert, X509Chain chain, SslPolicyErrors error)
{
    if (null != ca)
    {
        /*
         * 根证书未安装到“受信任的根证书颁发机构”时,默认是无法形成可信证书链的。(chain中将只有服务器证书本身)
         * 需更改链策略,然后重新构建证书链。
        */
        // 将我们的根证书放到链引擎可搜索到的地方
        chain.ChainPolicy.ExtraStore.Add(ca);
        //不执行吊销检查
        chain.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;
        //忽略CA未知情况、不做时间检查
        chain.ChainPolicy.VerificationFlags = X509VerificationFlags.AllowUnknownCertificateAuthority | X509VerificationFlags.IgnoreNotTimeNested | X509VerificationFlags.IgnoreNotTimeValid;
        //重新构建可信证书链
        bool isOk = chain.Build(cert as X509Certificate2);
        if (isOk)
        {
            X509Certificate2 cacert = chain.ChainElements[chain.ChainElements.Count - 1].Certificate;  //获取最前面的证书,认为是根证书
            //与本地根证书比较
            if (ca.GetPublicKeyString().Equals(cacert.GetPublicKeyString()) && ca.Thumbprint.Equals(cacert.Thumbprint))
            {
                HttpWebRequest req = sender as HttpWebRequest;
                if (null != req && cert.Subject.Contains("CN=" + req.Address.Host))
                {
                    return true;        //根证书可信且服务器证书确实是指定服务器的,验证通过
                }
            }
        }
    }
    return false;
}
 
通过上述方式,可以灵活执行自定义的验证,比如既验证服务器证书确实是我们颁发给指定网站的,又可根据需要跳过证书有效性的验证。
 
APP代上架www.35tui.cn
18627799917
扫描微信
TOP