Client-Authentifizierung über X509-Zertifikate in asp.net

Habe ich eine asp.net Anwendung und ich brauche, um Benutzer zu authentifizieren mittels X509-Zertifikaten. Das ist, muss der Benutzer installieren Sie ein Zertifikat von mir, so dass er durchsuchen Sie meine website und ich kann erkennen, welche Benutzer, die mit diesem Zertifikat.

Habe ich bereits konfiguriert, SSL auf IIS, aber es ist nicht das, was ich bin auf der Suche für jetzt, und ich weiß nicht, wo zu beginnen.

Wie kann ich erreichen, das in asp.net c#?

InformationsquelleAutor der Frage enb081 | 2013-02-18

  1. 20

    Zum erstellen einer sicheren Authentifizierungsmethode Sie verwenden würden, sowohl client-Zertifikate und Benutzername /Passwort. Der Grund dafür ist, dass ein Zertifikat ist etwas, das gestohlen werden kann (kopiert), aber ein Passwort ist etwas, das ist bekannt, nur durch die person. Eine alternative könnte sein, ein Zertifikat auf eine smartcard, durch eine PIN geschützt.

    Hilfe von client-Zertifikaten in ASP.NET Anwendungen müssen Sie Folgendes tun:

    Schritt 1: In IIS Manager, öffnen Sie Ihre Anwendung oder Website, wählen Sie die SSL-Einstellungen und wählen Sie SSL Erforderlich und Erfordern Client-Zertifikat.

    Nun, wenn der Benutzer öffnet die Webseite, der browser fordert ihn auf, wählen Sie ein client-Zertifikat verwendet wird, in der Mitteilung.

    Wichtig An diesem Punkt haben Sie, um sicherzustellen, dass das Zertifikat ausgestellt wird, von jemandem, den Sie Vertrauen (da kann jeder erstellen Sie Ihre eigenen self-signed Zertifikate).

    Schritt 2: Hinzufügen eines configuration item (entweder web.config, Datenbank, etc.). In dieser Liste sollten Sie die Fingerabdrücke des gesamten CA (certificate authority) - Kette für Ihre client-Zertifikate.

    <add key="ClientCertificateIssuerThumbprints" value="4901f5b87d736cd88792bd5ef7caee91bf7d1a2b,0113e31aa85d7fb02740a1257f8bfa534fb8549e,c9321de6b5a82666cf6971a18a56f2d3a8675602"/>

    Schritt 3: Schaffen einen klassischen username /Passwort-login-Seite. Überprüfen Sie den Benutzernamen/Passwort.

    Schritt 4: Fügen Sie den folgenden code, um Ihre login-Seite:

    var x509 = new X509Certificate2(this.Request.ClientCertificate.Certificate);
var chain = new X509Chain(true);
chain.ChainPolicy.RevocationMode = X509RevocationMode.Offline;
chain.Build(x509);

var validThumbprints = new HashSet<string>(
    System.Configuration.ConfigurationManager.AppSettings["ClientCertificateIssuerThumbprints"]
        .Replace(" ", "").Split(',', ';'),
    StringComparer.OrdinalIgnoreCase);

//if the certificate is self-signed, verify itself.
for (int i = chain.ChainElements.Count > 1 ? 1 : 0; i < chain.ChainElements.Count; i++)
{
    if (!validThumbprints.Contains(chain.ChainElements[i].Certificate.Thumbprint))
        throw new UnauthorizedAccessException("The client certificate selected is not authorized for this system. Please restart the browser and pick the certificate issued by XXXXX");
}

//certificate Subject would contain some identifier of the user (an ID number, SIN number or anything else unique). here it is assumed that it contains the login name and nothing else
if (!string.Equals("CN=" + login, x509.Subject, StringComparison.OrdinalIgnoreCase))
    throw new UnauthorizedAccessException("The client certificate selected is authorized for another user. Please restart the browser and pick another certificate.");

    Nur, wenn beide das Passwort und das Zertifikat überprüft wurde, sollte der Benutzer darf im system.

    InformationsquelleAutor der Antwort Knaģis

  2. 8

    Vorausgesetzt, Sie haben IIS 7.0 oder höher, können Sie konfigurieren Clientzertifikatzuordnung-Authentifizierung

    Mithilfe Von Active Directory (Extrem leicht, lässt der mapping-Arbeit der AD-server)

    <location path="Default Web Site">
   <system.webServer>
      <security>
         <access sslFlags="Ssl, SslNegotiateCert" />
          <authentication>
            <windowsAuthentication enabled="false" />
            <anonymousAuthentication enabled="false" />
            <digestAuthentication enabled="false" />
            <basicAuthentication enabled="false" />
            <clientCertificateMappingAuthentication enabled="true" />
         </authentication>
     </security>
   </system.webServer>
</location>

    Oder mit IIS (Mehr erforderliche Konfiguration in IIS, benötigt Zugriff auf das client-Zertifikat, funktioniert aber standalone, keine Rundfahrten, um die ANZEIGE). In diesem Fall geben Sie (eine oder mehrere) Benutzer-Anmeldeinformationen und

    • ordnen Sie jedem Benutzer ein Zertifikat des öffentlichen Schlüssels an einen Benutzer, dessen Anmeldeinformationen, die Sie angeben, oder
    • Karte mehrere Zertifikate an einen Benutzer auf Grundlage der Werte in die Zertifikats-Felder

    Konfiguration (viele zu einem):

    <location path="Default Web Site">
   <system.webServer>
      <security>
         <authentication>
            <windowsAuthentication enabled="false" />
            <anonymousAuthentication enabled="false" />
            <digestAuthentication enabled="false" />
            <basicAuthentication enabled="false" />
            <iisClientCertificateMappingAuthentication enabled="true"
                  manyToOneCertificateMappingsEnabled="true">
               <manyToOneMappings>
                  <add name="Contoso Employees"
                        enabled="true"
                        permissionMode="Allow"
                        userName="Username"
                        password="[enc:AesProvider:57686f6120447564652c2049495320526f636b73:enc]">
                     <rules>
                        <add certificateField="Subject"
                           certificateSubField="O"
                           matchCriteria="Contoso"
                           compareCaseSensitive="true" />
                     </rules>
                  </add>
               </manyToOneMappings>
            </iisClientCertificateMappingAuthentication>
         </authentication>
         <access sslFlags="Ssl, SslNegotiateCert" />
      </security>
   </system.webServer>
</location>

    (Beispiel-Konfiguration ziemlich schamlos kopiert von den Proben auf der iis.net Dokumentation-Seiten, die sind Recht aufwendig.)

    Oder Sie können die Anwendung so konfigurieren die Verwendung der anspruchsbasierten Authentifizierung mit einem Security Token Service (STS), die authentifiziert clients auf Basis von client-Zertifikaten. ADFS 2.0 kann tun, diese Rolle, oder wenn es nicht verfügbar ist, kann man sich an der Thinktecture Identity Server.

    InformationsquelleAutor der Antwort flup

Schreibe einen Kommentar