我有以下代码来创建自签名证书:
SubjectAlternativeNameBuilder subjectAlternativeNameBuilder = new SubjectAlternativeNameBuilder();
subjectAlternativeNameBuilder.AddDnsName("TestSRV01);
X500DistinguishedName x500DistinguishedName = new X500DistinguishedName($"CN=Self-Signed-Test");
using (RSA rsa = RSA.Create(2048))
{
var certificateRequest = new CertificateRequest(x500DistinguishedName, rsa, HashAlgorithmName.SHA256, RSASignaturePadding.Pkcs1);
certificateRequest.CertificateExtensions.Add(new X509KeyUsageExtension(X509KeyUsageFlags.DataEncipherment | X509KeyUsageFlags.KeyEncipherment | X509KeyUsageFlags.DigitalSignature, false));
certificateRequest.CertificateExtensions.Add(new X509EnhancedKeyUsageExtension(new OidCollection { new Oid("2.5.29.32.0"), new Oid("1.3.6.1.5.5.7.3.1") }, false));
certificateRequest.CertificateExtensions.Add(subjectAlternativeNameBuilder.Build());
var certificate = certificateRequest.CreateSelfSigned(new DateTimeOffset(DateTime.UtcNow.AddDays(-1)), new DateTimeOffset(DateTime.UtcNow.AddDays(3650)));
return new X509Certificate2(certificate.Export( X509ContentType.Cert, pw), pw, X509KeyStorageFlags.MachineKeySet | X509KeyStorageFlags.Exportable);
}
我只添加服务器的DNS名称以避免绑定到当前IP地址(测试机器在不同的网络中移动(。
事实证明,当我从客户端连接时,我需要使用 IP 地址(DNS 解析在测试站点上不可靠(。
不幸的是,SSL 连接失败,并显示以下消息:
(主机名 192.168.0.*** 未验证: 证书: SHA256/UuUOTTQTCb2wu**** DN: CN=
我无法将证书绑定到此地址,但我也不能将域名用作连接参数。
我可以围绕此问题创建可用的证书吗?还是应该在计算机启动时修改证书值并将当前 IP 地址添加到 isSubjectAlternativeName列表中?
根据评论,处理这种情况的最佳方法是在客户端中提供自定义证书验证,同时牢记 Patrick Mevzek 评论中的警告。
自定义证书验证涉及编写自己的代码来验证证书中的某些方面。HttpClientHandler类提供了一个ServerCertificateCustomValidationCallback可以使用自己的回调设置的属性。
证书首先由 .NET 进行评估,然后将此验证的结果作为SslPolicyErrors枚举与证书一起传递到回调。有多个选项可用于更正验证错误。例如,请参阅此答案以获取提示。在回调中,您可以检查提示中的主题 alt 名称,并确保它是"TestSRV01"。
X509Certificate2GetNameInfo方法可用于仅检索主题备用名称列表中的第一个 DNS 名称,因此,如果要检查的主机名不是第一个主机名,则必须与 .NET 进行战斗才能获取所需的信息。