ASP.NET WebApi - Làm cách nào để "cho phép", nhưng không phải "yêu cầu" chứng chỉ ứng dụng khách?

Question

Trong IIS, tôi có thể "bỏ qua", "cho phép" và "yêu cầu" chứng chỉ ứng dụng khách.

Trong ASP.NET WebAPI (phiên bản 4.0 vừa mới phát hành một chút trong khi quay lại), tôi dường như có khả năng chỉ "bỏ qua" hoặc "yêu cầu".

Theo mặc định, giấy chứng nhận của khách hàng sẽ được bỏ qua ... do đó, tuyên bố này luôn mang lại null:

var cert = actionContext.Request.GetClientCertificate(); 

Nhưng, nếu tôi đặt cờ này về cấu hình của tôi:

config.ClientCredentialType = HttpClientCredentialType.Certificate; 

Sau đó, tôi nhận được khách hàng cert ... nhưng, tôi không còn có khả năng cho phép truy cập ẩn danh nữa.

Ứng dụng khách ẩn danh của tôi hiện bị lỗi 403: "Máy chủ từ xa đã trả về lỗi: (403) Bị cấm".

Tôi có thể thực hiện một loại "cho phép" như trong IIS không?

Answer 1

Đây là giới hạn đã biết khi sử dụng chứng chỉ X509 trong tình huống tự lưu trữ. Giới hạn thực tế là từ ràng buộc vận chuyển cơ bản trong WCF, không có tùy chọn cho phép liên quan đến Chứng chỉ ứng dụng khách.

Bạn có thể, tuy nhiên, cho phép nhiều chương trình xác thực với các tùy chọn khác, chẳng hạn như ẩn danh và cửa sổ. Chúng tôi đang làm việc với nhóm WCF để tìm hiểu xem chúng tôi có thể thêm hỗ trợ đó bằng chứng chỉ ẩn danh và x509 không.

Hy vọng điều này sẽ làm rõ.

Answer 2

Có thể chứng chỉ được cung cấp không hợp lệ? Nếu trường hợp đó xảy ra, những điều sau có thể giúp bạn: RemoteCertificateValidationCallback