UWP Windows Store 应用上的 TLS 客户端证书身份验证

TLS client certificate authentication on UWP Windows Store app

我正在尝试连接到使用带有客户端证书身份验证的 TLS 的服务器。下面是一段代码:

async Task TestClientCertAuth()
{
    int iWinInetError = 0;
    Uri theUri = new Uri("http://xxx-xxx");
    try
    {
        using (HttpBaseProtocolFilter baseProtocolFilter = new HttpBaseProtocolFilter())
        {
            // Task<Certificate> GetClientCertificate() displays a UI with all available 
            // certificates with and returns the user selecter certificate.  An 
            // oversimplified implementation is included for completeness.
            baseProtocolFilter.ClientCertificate = await GetClientCertificate();
            baseProtocolFilter.AllowAutoRedirect = false;
            baseProtocolFilter.AllowUI = false;
            using (HttpClient httpClient = new HttpClient(baseProtocolFilter))
            using (HttpRequestMessage httpRequest = new HttpRequestMessage(HttpMethod.Get, theUri))
            using (HttpResponseMessage httpResponse = await httpClient.SendRequestAsync(httpRequest))
            {
                httpResponse.EnsureSuccessStatusCode();

                // Further HTTP calls using httpClient based on app logic.
            }
        }
    }
    catch (Exception ex)
    {
        iWinInetError = ex.HResult & 0xFFFF;
        LogMessage(ex.ToString() + " Error code: " + iWinInetError);
        throw;
    }
}

// Task<Certificate> GetClientCertificate() displays a UI with all available 
// certificates with and returns the user selecter certificate.  An 
// oversimplified implementation is included for completeness.
private async Task<Certificate> GetClientCertificate()
{
    IReadOnlyList<Certificate> certList = await CertificateStores.FindAllAsync();
    Certificate clientCert = null;
    // Always choose first enumerated certificate.  Works so long as there is only one cert
    // installed and it's the right one.
    if ((null != certList) && (certList.Count > 0))
    {
        clientCert = certList.First();
    }
    return clientCert;
}

SendRequestAsync 调用抛出 HRESULT 0x80072F7D 异常 - 我认为这意味着 ERROR_INTERNET_SECURITY_CHANNEL_ERROR。服务器证书信任没有问题。客户端证书安装在应用本地商店中,我可以使用 CertificateStores.FindAllAsync 检索它。查看 SSL 跟踪,我可以看到未发送客户端证书。

如果HttpBaseProtocolFilter.AllowUI设置为真,则不会出现上述问题。在这种情况下,SendRequestAsync 调用会导致显示 UI 以请求同意使用客户端证书。在此对话框中选择 'Allow' 后,我可以看到在跟踪中发送了客户端证书和证书验证消息,并且连接已成功建立。

问题:应用程序代码已经处理了用户的证书选择。我想知道是否有任何方法可以指定同意以编程方式使用客户端证书。因为启用 AllowUI 会导致其他副作用 - 例如,如果服务器使用 WWW-Authenticate 重新运行 401 HTTP 代码:Basic header,基本协议过滤器会弹出它自己的 [=26] =] 接受用户凭据而不给调用者处理它的机会。想避免以上两种 UIs,因为我已经选择了客户端证书并从拥有自己的 UIs 的用户那里获得了凭据。谢谢

我认为您没有将证书存储在应用程序自己的证书存储区中。如果您设置 HttpBaseProtocolFilter.AllowUI = true 并确认对话框,应用程序将获得使用用户存储中的私钥的权限。如果没有 UI 确认,应用程序只能使用其自己的证书存储中的私钥。

Windows 10 Mobile 上的情况更糟——据我所知,您无法将 HttpBaseProtocolFilter.AllowUI 设置为 true(参见我的问题 )。这留下了使用应用程序自己的证书存储的唯一选项。

Microsoft Blog Entry 提供了有关当 AllowUI 为 false 时出现此错误的原因的信息,并提供了解决方法。证书同意 UI 在任何情况下都无法绕过,因此这是欧盟必须经历的事情。 Windows Phone 上的行为似乎也有所不同。尝试过此解决方案,它似乎适用于桌面和 Surface。一般的想法是 'prime' 通过尝试访问私钥来为当前应用程序会话中的较低级别 API 使用的证书。在这种情况下,我们只是尝试签署一些虚拟数据。一旦欧盟授予对证书的访问权限,TLS 会话建立就会成功。需要检查如何 不过,这在 Windows Phone 上有效。

    private async Task<bool> RequestCertificateAccess(Certificate cert)
    {
        bool signOK = false;

        try
        {
            IBuffer data = CryptographicBuffer.ConvertStringToBinary("ABCDEFGHIJKLMNOPQRSTUVWXYZ012345656789", 
                BinaryStringEncoding.Utf8);

            CryptographicKey key = await PersistedKeyProvider.OpenKeyPairFromCertificateAsync(cert,
                HashAlgorithmNames.Sha1, CryptographicPadding.RsaPkcs1V15);

            IBuffer sign = await CryptographicEngine.SignAsync(key, data);

            signOK = CryptographicEngine.VerifySignature(key, data, sign);
        }
        catch (Exception ex)
        {
            LogMessage(ex.ToString(), "Certificate access denied or sign/verify failure.");
            signOK = false;
        }
        return signOK;
    }

RequestClientCertificateAccess 可以在设置基本协议过滤器上的客户端证书之前调用。

@Tomas Karban,感谢您的回复。我没有使用 sharedUserCertificates,所以如果我理解正确的话,我可以枚举的任何证书都必须在应用程序的证书存储中。如果您还没有看过我分享的 link,可能会对您的案例有所帮助。