我有以下代码来创建自签名证书:SubjectAlternativeNameBuilder subjectAlternativeNameBuilder = new SubjectAlternativeNameBuilder();
subjectAlternativeNameBuilder.AddDnsName("TestSRV01);
X500DistinguishedName x500DistinguishedName = new X500DistinguishedName($"CN=Self-Signed-Test");
using (RSA rsa = RSA.Create(2048))
{
var certificateRequest = new CertificateRequest(x500DistinguishedName, rsa, HashAlgorithmName.SHA256, RSASignaturePadding.Pkcs1);
certificateRequest.CertificateExtensions.Add(new X509KeyUsageExtension(X509KeyUsageFlags.DataEncipherment | X509KeyUsageFlags.KeyEncipherment | X509KeyUsageFlags.DigitalSignature, false));
certificateRequest.CertificateExtensions.Add(new X509EnhancedKeyUsageExtension(new OidCollection { new Oid("2.5.29.32.0"), new Oid("1.3.6.1.5.5.7.3.1") }, false));
certificateRequest.CertificateExtensions.Add(subjectAlternativeNameBuilder.Build());
var certificate = certificateRequest.CreateSelfSigned(new DateTimeOffset(DateTime.UtcNow.AddDays(-1)), new DateTimeOffset(DateTime.UtcNow.AddDays(3650)));
return new X509Certificate2(certificate.Export( X509ContentType.Cert, pw), pw, X509KeyStorageFlags.MachineKeySet | X509KeyStorageFlags.Exportable);
}我只添加服务器的 DNS 名称,以避免绑定到当前 IP 地址(测试机器在不同网络中移动)。事实证明,当我从客户端连接时,我需要使用 IP 地址(测试站点上的 DNS 解析不可靠)。不幸的是,SSL 连接失败并显示以下消息:(主机名 192.168.0.*** 未验证:证书:sha256/UuUOTTQTCb2wu************************ DN:CN=我无法将证书绑定到该地址,但也无法使用域名作为连接参数。我可以围绕这个问题创建一个可用的证书吗?或者我应该在计算机启动时修改证书值并将当前 IP 地址添加到列表中SubjectAlternativeName?
1 回答
叮当猫咪
TA贡献1776条经验 获得超12个赞
根据评论,处理这种情况的最佳方法似乎是在客户端中提供自定义证书验证,同时牢记 Patrick Mevzek 评论中的警告。
自定义证书验证涉及您编写自己的代码来验证证书中的某些方面。该类HttpClientHandler
提供了一个 ServerCertificateCustomValidationCallback
属性,您可以使用自己的回调来设置该属性。
.NET 首先评估证书,然后将验证结果作为枚举与SslPolicyErrors
证书一起传递给您的回调。您有多种选项可用于纠正验证错误。例如在回调中,您可以检查提示中的主题替代名称并确保它是“TestSRV01”。
方法GetNameInfo
可X509Certificate2
用于仅检索主题备用名称列表中的第一个 DNS 名称,因此,如果您要检查的主机名不是第一个,那么您将不得不与 .NET 进行斗争才能获取您想要的信息。需要。
- 1 回答
- 0 关注
- 79 浏览
添加回答
举报
0/150
提交
取消