问题描述
我正在研究调用和外部api的azure函数(应用服务计划)。该api由证书保护。
我在天蓝色功能SSL设置中上传了证书。我在Azure Functions设置中也有相关的指纹。
我能够使用其指纹来获取完全相同的证书。
X509Store certStore = new X509Store(StoreName.My,StoreLocation.CurrentUser);
certStore.Open(OpenFlags.ReadOnly);
var cert1 = certStore.Certificates.Find(
X509FindType.FindByThumbprint,"xxxxxxxxxxxxxx",false)[0];
log.Log@R_138_4045@ion(cert1.Subject);
但是当我使用HttpClient拨打电话时,我得到了SSL错误
var _clientHandler = new httpclienthandler();
_clientHandler.UseDefaultCredentials = false;
_clientHandler.ClientCertificateOptions = ClientCertificateOption.Automatic;
using (var client = new HttpClient(_clientHandler))
{
try
{
client.DefaultRequestHeaders.Accept.Clear();
var resp = await client.GetAsync("https://xxxxxxxxxxxx");
我不想绕过验证,但要检查发生了什么,我添加了此代码,并且链状状态为“ UntrustedRoot”
_clientHandler.ServerCertificateCustomValidationCallback =
(sender,cert,chain,sslPolicyErrors) =>
{
log.Log@R_138_4045@ion(chain.ChainStatus[0].Status.ToString());
return true;
};
我做错了什么?
解决方法
我做错了什么?
什么都没有。您的客户证书看起来好像已正确附加到请求中。服务器证书验证回调表明,执行请求的计算机不信任来自将请求发送到的服务器的证书链。
如果将Azure中看到的证书链(例如foreach (var elem in chain.ChainElements) { log.LogInformation(elem.Certificate.Subject) })与从另一来源看到的证书链进行比较,并且它们相同,则可以使回调更像
_clientHandler.ServerCertificateCustomValidationCallback =
(sender,cert,chain,sslPolicyErrors) =>
{
if (sslPolicyErrors == SslPolicyErrors.RemoteCertificateChainErrors)
{
X509ChainStatusFlags flags = chain.ChainStatus.Aggregate(
X509ChainStatusFlags.NoError,(f,s) => f | s.Status);
if (flags == X509ChainStatusFlags.UntrustedRoot)
{
X509Certificate2 presentedRoot =
chain.ChainElements[chain.ChainElements.Length - 1].Certificate;
return presentedRoot.RawData.SequenceEqual(s_pinnedRootBytes);
}
}
return sslPolicyErrors == SslPolicyErrors.None;
};
只有在以下情况之一时才会返回true:
- 如果没有自定义回调,它会成功
- 该链唯一的问题是它具有不受信任的根,并且该链的根是逐字节的,等于您已保存的根证书的副本。 (硬编码,外部资源,等等。)