C# và dotnet 4.7.1 không thêm chứng chỉ tùy chỉnh cho TLS 1.2 gọi

Question

Tôi có mã C# sau, xây dựng cuộc gọi https với chứng chỉ tùy chỉnh. Khi sử dụng Tls 1.1, cuộc gọi hoạt động tốt. Khi sử dụng Tls 1.2, ngắt cuộc gọi. Tôi sử dụng curl, sử dụng tls 1.2 hoạt động tốt là tốt.

C# Code:

X509Certificate2Collection collection = new X509Certificate2Collection(); 
collection.Import("C:\\SomePath\\MyCertificate.pfx", "MyPassword", X509KeyStorageFlags.PersistKeySet); 
var cert = collection[0]; 

ServicePointManager.SecurityProtocol = ...; 

ServicePointManager.ServerCertificateValidationCallback += (sender, certificate, chain, errors) => true; 
HttpClientHandler handler = new HttpClientHandler(); 
handler.ServerCertificateCustomValidationCallback = (message, certificate2, arg3, arg4) => true; 
handler.ClientCertificates.Add(cert); 

var content = new ByteArrayContent(Encoding.GetEncoding("latin1").GetBytes("Hello world")); 
HttpClient client = new HttpClient(handler); 
var resp = client.PostAsync(requestUri: url, content: content).Result.Content.ReadAsStringAsync().Result; 

Hoạt động trên:

ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls11; 

Lỗi với:

ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12; 

thông báo lỗi Net: SocketException: Một kết nối hiện đã buộc phải đóng cửa do máy chủ từ xa

Net phiên bản: 4.7.1

Hệ điều hành: Windows 10 phiên bản 1703 (được hỗ trợ danh sách mật mã: https://msdn.microsoft.com/en-us/library/windows/desktop/mt808163(v=vs.85).aspx) - và máy chủ xác định TLS_RSA_WITH_AES_256_GCM_SHA384 được sử dụng, đó là một trong những thuật toán mã hóa được hỗ trợ.

Trong wireshark tôi có thể thấy rằng với các cuộc gọi đang hoạt động (C#/Tls 1.1 và Curl Tls 1.2) chứng chỉ đang được gửi đến máy chủ. Đây là bãi Wireshark cho C# tls 1.1 gọi:

Tuy nhiên, cũng trong Wireshark, tôi có thể thấy rằng với C#/TLS 1.2 không có giấy chứng nhận được gửi từ máy khách đến máy chủ. Đây là bãi Wireshark cho C# tls 1.2 gọi:

bất cứ ai có thể nhìn thấy những gì tôi đang thiếu ở đây?

CẬP NHẬT

Dường như giấy chứng nhận có chữ ký md5 mà không được hỗ trợ bởi Schannel trong cửa sổ kết hợp với tls 1.2. Nhà cung cấp của chúng tôi đã tạo một chứng chỉ khác cho chúng tôi như một giải pháp.

Tôi đã xem qua chủ đề ngẫu nhiên này mà thảo luận về vấn đề này: https://community.qualys.com/thread/15498

Answer 1

Tôi tin rằng mã này được che một số loại lỗi chứng chỉ bằng cách luôn luôn mù quáng trở thành sự thật:

tôi khuyên bạn nên có một chức năng thực sự phân tích kết quả của arg4. Đó là lỗi chính sách SSL của bạn. Đăng nhập chúng và bạn sẽ nhận được câu trả lời của bạn. Trong ví dụ của tôi, tôi ghi vào bảng điều khiển, nhưng bạn có thể ghi vào dấu vết hoặc tệp. Bạn sẽ nhận được một số sẽ được liên kết với một giá trị cho liệt kê SslPolicyErrors. Dựa trên kết quả bạn có thể cần phải kiểm tra arg3 của bạn, đó là chuỗi của bạn.

ServicePointManager.ServerCertificateValidationCallback += (sender, cert, chain, sslPolicyErrors) => { 

SslPolicyErrors errs = sslPolicyErrors; 
Console.WriteLine("Policy Errors " + sslPolicyErrors.ToString());   
return true;}; 

Answer 2

Bạn có nên chỉ định thuộc tính SslProtocols của người xử lý không?

Hãy thử thêm dòng này sau khi hander định nghĩa:

handler.SslProtocols = SslProtocols.Tls12; 

Answer 3

Bạn đang đúng vào nguyên nhân gốc rễ của vấn đề này: Theo mặc định, khách hàng SCHANNEL dựa trên cung cấp SHA1, SHA256, SHA384 và SHA512 (trên Win10/Server 2016). Vì vậy, các máy chủ TLS 1.2 không được phép gửi chứng chỉ MD5 của họ đến các máy khách này.

Máy khách (HttpClient) không liệt kê MD5 trong phần mở rộng signature_algorithms, do đó bắt tay TLS 1.2 không thành công. Việc sửa chữa là sử dụng một cert máy chủ an toàn.