从 azure 函数调用外部 api 时证书未验证
certificate is not validating while calling external api from azure function
我正在开发一个调用和外部 api 的 azure 函数(应用程序服务计划)。 api 受证书保护。
我在 Azure 函数 SSL 设置中上传了证书。我在 Azure Functions 设置中也有相关的指纹。
我可以使用指纹获取完全相同的证书。
X509Store certStore = new X509Store(StoreName.My, StoreLocation.CurrentUser);
certStore.Open(OpenFlags.ReadOnly);
var cert1 = certStore.Certificates.Find(
X509FindType.FindByThumbprint,
"xxxxxxxxxxxxxx",
false)[0];
log.LogInformation(cert1.Subject);
但是当我使用 HttpClient 进行调用时,出现 SSL 错误
var _clientHandler = new HttpClientHandler();
_clientHandler.UseDefaultCredentials = false;
_clientHandler.ClientCertificateOptions = ClientCertificateOption.Automatic;
using (var client = new HttpClient(_clientHandler))
{
try
{
client.DefaultRequestHeaders.Accept.Clear();
var resp = await client.GetAsync("https://xxxxxxxxxxxx");
我不想绕过验证但是为了检查发生了什么我添加了这段代码并且链状态是“UntrustedRoot”
_clientHandler.ServerCertificateCustomValidationCallback =
(sender, cert, chain, sslPolicyErrors) =>
{
log.LogInformation(chain.ChainStatus[0].Status.ToString());
return true;
};
我做错了什么?
what is that i am doing wrong ?
没有。您的客户端证书看起来可能已正确附加到请求中。服务器证书验证回调表明执行请求的机器不信任它向其发送请求的服务器的证书链。
如果您将您在 Azure 中看到的证书链(例如 foreach (var elem in chain.ChainElements) { log.LogInformation(elem.Certificate.Subject) })与您从另一个来源看到的证书链进行比较并且它们是相同的,那么您可以使您的回调更像
_clientHandler.ServerCertificateCustomValidationCallback =
(sender, cert, chain, sslPolicyErrors) =>
{
if (sslPolicyErrors == SslPolicyErrors.RemoteCertificateChainErrors)
{
X509ChainStatusFlags flags = chain.ChainStatus.Aggregate(
X509ChainStatusFlags.NoError,
(f, s) => f | s.Status);
if (flags == X509ChainStatusFlags.UntrustedRoot)
{
X509Certificate2 presentedRoot =
chain.ChainElements[chain.ChainElements.Length - 1].Certificate;
return presentedRoot.RawData.SequenceEqual(s_pinnedRootBytes);
}
}
return sslPolicyErrors == SslPolicyErrors.None;
};
只有 return 为真,如果:
- 没有自定义回调也会成功
- 链的唯一问题是它有一个不受信任的根,链的根 byte-for-byte 等于您已经保存的根证书的副本。 (硬编码、外部资源等等。)
我正在开发一个调用和外部 api 的 azure 函数(应用程序服务计划)。 api 受证书保护。
我在 Azure 函数 SSL 设置中上传了证书。我在 Azure Functions 设置中也有相关的指纹。
我可以使用指纹获取完全相同的证书。
X509Store certStore = new X509Store(StoreName.My, StoreLocation.CurrentUser);
certStore.Open(OpenFlags.ReadOnly);
var cert1 = certStore.Certificates.Find(
X509FindType.FindByThumbprint,
"xxxxxxxxxxxxxx",
false)[0];
log.LogInformation(cert1.Subject);
但是当我使用 HttpClient 进行调用时,出现 SSL 错误
var _clientHandler = new HttpClientHandler();
_clientHandler.UseDefaultCredentials = false;
_clientHandler.ClientCertificateOptions = ClientCertificateOption.Automatic;
using (var client = new HttpClient(_clientHandler))
{
try
{
client.DefaultRequestHeaders.Accept.Clear();
var resp = await client.GetAsync("https://xxxxxxxxxxxx");
我不想绕过验证但是为了检查发生了什么我添加了这段代码并且链状态是“UntrustedRoot”
_clientHandler.ServerCertificateCustomValidationCallback =
(sender, cert, chain, sslPolicyErrors) =>
{
log.LogInformation(chain.ChainStatus[0].Status.ToString());
return true;
};
我做错了什么?
what is that i am doing wrong ?
没有。您的客户端证书看起来可能已正确附加到请求中。服务器证书验证回调表明执行请求的机器不信任它向其发送请求的服务器的证书链。
如果您将您在 Azure 中看到的证书链(例如 foreach (var elem in chain.ChainElements) { log.LogInformation(elem.Certificate.Subject) })与您从另一个来源看到的证书链进行比较并且它们是相同的,那么您可以使您的回调更像
_clientHandler.ServerCertificateCustomValidationCallback =
(sender, cert, chain, sslPolicyErrors) =>
{
if (sslPolicyErrors == SslPolicyErrors.RemoteCertificateChainErrors)
{
X509ChainStatusFlags flags = chain.ChainStatus.Aggregate(
X509ChainStatusFlags.NoError,
(f, s) => f | s.Status);
if (flags == X509ChainStatusFlags.UntrustedRoot)
{
X509Certificate2 presentedRoot =
chain.ChainElements[chain.ChainElements.Length - 1].Certificate;
return presentedRoot.RawData.SequenceEqual(s_pinnedRootBytes);
}
}
return sslPolicyErrors == SslPolicyErrors.None;
};
只有 return 为真,如果:
- 没有自定义回调也会成功
- 链的唯一问题是它有一个不受信任的根,链的根 byte-for-byte 等于您已经保存的根证书的副本。 (硬编码、外部资源等等。)