目标是与安装在用户PC上的C#应用程序交换信息的Web应用程序。 客户端应用程序是 websocket 服务器,浏览器是 websocket 客户端。
最后,用户浏览器中的websocket客户端是通过Angular永久创建的,应用程序在PC上运行并执行一些操作。
使用的 C# 库是 WebSocket-Sharp。websocket 客户端是普通的 javascript。
显然,此连接仅发生在本地,因此客户端连接到本地主机。 由于网站是通过HTTPS保护的,因此websocket也必须受到保护。为此,C# 应用程序在启动时创建一个证书(实际上仅用于测试目的(。
连接不起作用,因为证书不受信任。客户端的所有服务器检查均已禁用,但不会建立连接。
这是创建服务器的部分
_server = new WebSocketServer($"wss://localhost:4649")
{
SslConfiguration =
{
ServerCertificate = Utils.Certificate.CreateSelfSignedCert(),
ClientCertificateRequired = false,
CheckCertificateRevocation = false,
ClientCertificateValidationCallback = (sender, certificate, chain, sslPolicyErrors) => true
}
};
_server.AddWebSocketService<CommandsBehaviour>("/commands");
_server.AddWebSocketService<NotificationsBehaviour>("/notifications");
_server.Start();
这就是使用BouncyCastle创建证书的方式
private static AsymmetricKeyParameter CreatePrivateKey(string subjectName = "CN=root")
{
const int keyStrength = 2048;
// Generating Random Numbers
var randomGenerator = new CryptoApiRandomGenerator();
var random = new SecureRandom(randomGenerator);
// The Certificate Generator
var certificateGenerator = new X509V3CertificateGenerator();
// Serial Number
var serialNumber = BigIntegers.CreateRandomInRange(BigInteger.One, BigInteger.ValueOf(long.MaxValue), random);
certificateGenerator.SetSerialNumber(serialNumber);
// Issuer and Subject Name
var subjectDn = new X509Name(subjectName);
var issuerDn = subjectDn;
certificateGenerator.SetIssuerDN(issuerDn);
certificateGenerator.SetSubjectDN(subjectDn);
// Valid For
var notBefore = DateTime.UtcNow.Date;
var notAfter = notBefore.AddYears(70);
certificateGenerator.SetNotBefore(notBefore);
certificateGenerator.SetNotAfter(notAfter);
// Subject Public Key
var keyGenerationParameters = new KeyGenerationParameters(random, keyStrength);
var keyPairGenerator = new RsaKeyPairGenerator();
keyPairGenerator.Init(keyGenerationParameters);
var subjectKeyPair = keyPairGenerator.GenerateKeyPair();
return subjectKeyPair.Private;
}
public static X509Certificate2 CreateSelfSignedCert(string subjectName = "CN=localhost", string issuerName = "CN=root")
{
const int keyStrength = 2048;
var issuerPrivKey = CreatePrivateKey();
// Generating Random Numbers
var randomGenerator = new CryptoApiRandomGenerator();
var random = new SecureRandom(randomGenerator);
ISignatureFactory signatureFactory = new Asn1SignatureFactory("SHA512WITHRSA", issuerPrivKey, random);
// The Certificate Generator
var certificateGenerator = new X509V3CertificateGenerator();
certificateGenerator.AddExtension(X509Extensions.SubjectAlternativeName, false, new GeneralNames(new GeneralName[] { new GeneralName(GeneralName.DnsName, "localhost"), new GeneralName(GeneralName.DnsName, "127.0.0.1") }));
certificateGenerator.AddExtension(X509Extensions.ExtendedKeyUsage, true, new ExtendedKeyUsage((new ArrayList() { new DerObjectIdentifier("1.3.6.1.5.5.7.3.1") })));
// Serial Number
var serialNumber = BigIntegers.CreateRandomInRange(BigInteger.One, BigInteger.ValueOf(Int64.MaxValue), random);
certificateGenerator.SetSerialNumber(serialNumber);
// Signature Algorithm
//const string signatureAlgorithm = "SHA512WITHRSA";
//certificateGenerator.SetSignatureAlgorithm(signatureAlgorithm);
// Issuer and Subject Name
var subjectDn = new X509Name(subjectName);
var issuerDn = new X509Name(issuerName);
certificateGenerator.SetIssuerDN(issuerDn);
certificateGenerator.SetSubjectDN(subjectDn);
// Valid For
var notBefore = DateTime.UtcNow.Date;
var notAfter = notBefore.AddYears(70);
certificateGenerator.SetNotBefore(notBefore);
certificateGenerator.SetNotAfter(notAfter);
// Subject Public Key
var keyGenerationParameters = new KeyGenerationParameters(random, keyStrength);
var keyPairGenerator = new RsaKeyPairGenerator();
keyPairGenerator.Init(keyGenerationParameters);
var subjectKeyPair = keyPairGenerator.GenerateKeyPair();
certificateGenerator.SetPublicKey(subjectKeyPair.Public);
// self sign certificate
var certificate = certificateGenerator.Generate(signatureFactory);
// corresponding private key
var info = PrivateKeyInfoFactory.CreatePrivateKeyInfo(subjectKeyPair.Private);
// merge into X509Certificate2
var x509 = new X509Certificate2(certificate.GetEncoded());
var seq = (Asn1Sequence)Asn1Object.FromByteArray(info.ParsePrivateKey().GetDerEncoded());
if (seq.Count != 9)
{
throw new PemException("malformed sequence in RSA private key");
}
var rsa = RsaPrivateKeyStructure.GetInstance(seq); //new RsaPrivateKeyStructure(seq);
var rsaparams = new RsaPrivateCrtKeyParameters(
rsa.Modulus, rsa.PublicExponent, rsa.PrivateExponent, rsa.Prime1, rsa.Prime2, rsa.Exponent1, rsa.Exponent2, rsa.Coefficient);
x509.PrivateKey = DotNetUtilities.ToRSA(rsaparams);
return x509;
}
这种行为是合乎逻辑的,尽管这很奇怪,因为证书检查不应该在本地执行。 是否有可能绕过此问题?我已经考虑过将颁发者证书安装到受信任的证书,但这不是最佳解决方案。
你试过这个问题的答案吗?
总而言之,看起来您可以尝试几个选项:
-
使用指定的
--ignore-certificate-errors参数启动 Chrome。 -
在采用相同自签名证书的同一端口上启动 HTTP 服务器,浏览到该服务器并接受该证书,之后您应该能够使用 WebSocket 连接。
-
将 Firefox
network.websocket.allowInsecureFromHTTPS上的配置选项设置为true,然后使用ws://而不是wss://地址。
如果所有这些都是为了测试,并且您有可能控制这种事情,那么我认为其中一个或多个应该有效。 如果您需要标准最终用户能够做到这一点,我认为您需要不同的解决方案。正如您所发现的,是否将服务器设置为不关心证书并不重要,客户端最终必须决定是要接受证书还是不接受连接。
@Kdawg答案是正确的。
您不希望客户端浏览器仅接受服务器端调整的不安全连接。接受未签名(或自签名(证书的所有行为都在客户端。
我想补充一点,除了@Kdawg的回答之外,在Windows网络上,私人组织最常见的做法是:
分配 Windows 服务器以充当证书颁发机构
将证书颁发机构的公共根证书添加到 Windows 主机(通过 GPO(或手动
使用 Windows CA 服务器对自定义证书进行签名
这听起来很痛苦,确实如此。
如果我是你,我会去制作一个标准的公开签名证书,并运行SSL直到完成。
查看Let's Encrypt为您的域获取免费的SSL证书。
我的最终解决方案是为子域创建一个有效的证书,然后将 A/AAAA 记录更改为本地主机。这样,连接就通过HTTPS受到信任。