HTTPS-аутентификация сертификата клиента Windows 8 Phone

Я пытаюсь получить доступ к защищенному HTTPS-серверу, используя клиентский сертификат из приложения для Windows 8 Phone, которое я разрабатываю. Это вообще не работает, что заставило меня попытаться получить доступ к HTTPS-серверу из стандартного веб-браузера, где он тоже не работает. Я не знаю, может ли Internet Explorer обрабатывать клиентские сертификаты или нет. Если он не справится с ними, мне был бы очень интересен пример кода для С# .NET, который работает на Windows 8 Phone и может предоставить сертификат клиента веб-службе через HTTPS. Используемый сертификат должен храниться в хранилище сертификатов Windows 8 Phone.

У меня это просто не работает ни в приложении, которое я создал, ни в Internet Explorer. Я настроил аутентификацию клиента в Apache следующим образом:

<VirtualHost _default_:443>
DocumentRoot /var/www/htdocs
ServerName norrweb
ServerAdmin [email protected]
ErrorLog logs/error_log
TransferLog logs/access_log
SSLEngine on
SSLCertificateFile    /etc/ssl/server.crt
SSLCertificateKeyFile /etc/ssl/private/server.key
#SSLCACertificatePath    /var/www/conf/ssl.crt
SSLCACertificateFile    /var/www/conf/ssl.crt/ca-bundle.crt
SSLVerifyClient require
SSLVerifyDepth  10

Это прекрасно работает, в OSX я могу выбрать проблемы с сертификатом клиента с помощью ЦС, указанного в SSLCACertificateFile, который содержит самозаверяющий корневой ЦС и промежуточный ЦС, который, в свою очередь, подписал сертификат клиента, который я использую на своем Mac.

Я установил корневой ЦС, промежуточный ЦС и клиентский ЦС на телефоне с Windows 8 (Nokia Lumia 900). Телефон сказал мне для каждого сертификата, что он был успешно установлен. Мне кажется, что телефон никогда не отправляет сертификат на сервер. Нужно ли указывать, какой сертификат использовать для какого сервера?

В error_log для Apache можно прочитать следующее:

# tail -f /var/www/logs/error_log                                                                                                                                  
[Tue Mar 12 23:46:30 2013] [error] mod_ssl: SSL handshake failed (server norrweb:443, client (OpenSSL library error follows)
[Tue Mar 12 23:46:30 2013] [error] OpenSSL: error:140890C7:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate [Hint: No CAs known to server for verification?]
[Tue Mar 12 23:48:45 2013] [error] mod_ssl: SSL handshake failed (server norrweb:443, client (OpenSSL library error follows)
[Tue Mar 12 23:48:45 2013] [error] OpenSSL: error:140890C7:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate [Hint: No CAs known to server for verification?]
[Tue Mar 12 23:48:45 2013] [error] mod_ssl: SSL handshake failed (server norrweb:443, client (OpenSSL library error follows)
[Tue Mar 12 23:48:45 2013] [error] OpenSSL: error:140890C7:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate [Hint: No CAs known to server for verification?]
[Tue Mar 12 23:52:23 2013] [error] mod_ssl: SSL handshake failed (server norrweb:443, client (OpenSSL library error follows)
[Tue Mar 12 23:52:23 2013] [error] OpenSSL: error:140890C7:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate [Hint: No CAs known to server for verification?]
[Tue Mar 12 23:52:23 2013] [error] mod_ssl: SSL handshake failed (server norrweb:443, client (OpenSSL library error follows)
[Tue Mar 12 23:52:23 2013] [error] OpenSSL: error:140890C7:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate [Hint: No CAs known to server for verification?]

В Wireshark можно увидеть следующее

[Изменить] Вот некоторая новая информация, я выполнил некоторую будущую отладку, используя openssl s_client, см. ниже:

imac:test jens$ openssl s_client -showcerts -connect norrweb:443 -CAfile CCRootCA.pem -prexit
depth=1 /CN=CCRootCA/C=SE/emailAddress=<mail hidden>
verify return:1
depth=0 /CN=norrweb/emailAddress=<mail hidden>
verify return:1
45636:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:/SourceCache/OpenSSL098/OpenSSL098-47/src/ssl/s3_pkt.c:1102:SSL alert number 40
45636:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:/SourceCache/OpenSSL098/OpenSSL098-47/src/ssl/s23_lib.c:182:
Certificate chain
 0 s:/CN=norrweb/emailAddress=<mail hidden>
   i:/CN=CCRootCA/C=SE/emailAddress=<mail hidden>
Server certificate
subject=/CN=norrweb/emailAddress=<mail hidden>
issuer=/CN=CCRootCA/C=SE/emailAddress=<mail hidden>
Acceptable client certificate CA names
/CN=NorrIntermediateCA/C=SE/emailAddress=<mail hidden>
/CN=NorrRootCA/C=SE/emailAddress=<mail hidden>
SSL handshake has read 1599 bytes and written 210 bytes
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: C3B4CC8BF5D88DE76E0DDEE4A24499B9F391D8B7AE93C84CE25DA58218181313
    Master-Key: C98F2A12F7A796BD380507544A25FBEFCFEC1270F14A5705E6FFC4C841403F35C244E39F71FBA5407C27AC406D1058B7
    Key-Arg   : None
    Start Time: 1364065589
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
imac:test jens$ 

В журнале на сервере печатается следующее:

[23/Mar/2013 20:06:24 25734] [info]  Connection to child 3 established (server norrweb:443, client
[23/Mar/2013 20:06:24 25734] [info]  Seeding PRNG with 1160 bytes of entropy
[23/Mar/2013 20:06:24 25734] [error] SSL handshake failed (server norrweb:443, client (OpenSSL library error follows)
[23/Mar/2013 20:06:24 25734] [error] OpenSSL: error:140890C7:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate [Hint: No CAs known to server for verification?]

Поскольку он печатает следующее, я предполагаю, что сервер делает правильную вещь?:

Допустимые имена ЦС сертификата клиента


/CN=NorrRootCA/C=SE/адрес электронной почты=

Я точно знаю, что установил клиентский сертификат на устройство Nokia, подписанный /CN=NorrIntermediateCA/C=SE/emailAddress=

Есть еще предложения? Телефон с Windows 8 сломался?

person    schedule 12.03.2013    source источник
Это про программирование? Если нет, то здесь это не по теме.   -  person Eugene Mayevski 'Callback    schedule 13.03.2013
Речь идет о разработке приложения для Windows 8 Phone. Я уточнил намерения в вопросе   -  person    schedule 14.03.2013
будет ли это полезно для установки и тестирования сертификата?   -  person Neil Turner    schedule 15.03.2013
Еще более странным это делает то, что оно отлично работает на Windows Phone 7. То же самое приложение, которое работает на Windows Phone 7, не работает на Windows 8 Phone (по крайней мере, на Nokia Lumia 900). Возможно, они сильно изменились с обработкой сертификатов.   -  person    schedule 16.03.2013
Убедитесь, что на вашем телефоне установлена ​​правильная дата/время, и даже если он установлен автоматически, установите его вручную и убедитесь, что это правильная дата/время. Чтобы рукопожатие работало, необходимо иметь правильную дату/время, и я действительно видел много случаев, когда все должно было просто работать, но в итоге телефон был настроен на неправильную дату/время.   -  person Patrick F    schedule 16.03.2013
Спасибо, Патрик, за идею, я проверю это и опубликую результаты через несколько часов.   -  person    schedule 18.03.2013
Сейчас я проверил настройки даты и времени телефона, и они, к сожалению, были правильными. Я также пытался установить время вручную, но безуспешно. В любом случае спасибо за предложение, стоит попробовать.   -  person    schedule 18.03.2013

Ответы (2)

Я знаю, что уже поздно, но согласно этой статье msdn клиентские сертификаты не поддерживаются в Windows Phone 8.

person    schedule 30.06.2013
Вы правы, я тоже пришел к такому выводу. Забыл добавить сюда, молодец! :) - person; 01.07.2013
Я узнал это на собственном горьком опыте во время хакатона... хотя они доступны в приложениях Магазина Windows. - person; 01.07.2013
Изменилось ли это вообще с последней версией WP? - person tofutim; 29.05.2015

Взгляните на кадр 6. Nokia не отправляет сертификат. Это соответствует сообщениям error_log о том, что сертификат отсутствует: узел не вернул сертификат.

Я видел эту проблему, когда на сервере отсутствует цепочка сертификатов, которая выдала клиентские сертификаты. Я полагаю, что error_log говорит об этом: [Подсказка: серверу не известны ЦС для проверки?]

Сервер отправляет клиенту центры сертификации, которым он доверяет. Клиент отправляет обратные сообщения, используя клиентские сертификаты, выданные этими центрами сертификации.

person Gyle Iverson    schedule 21.03.2013
Привет, спасибо за ответ. То, что Nokia так и не отправила сертификат, я тоже ожидал. Вопрос почему и как исправить? Я уверен, что цепочка, выдающая клиентский сертификат, установлена ​​на сервере. Поскольку он отлично работает с клиентом OSX, я чувствую, что это проблема клиента? Или вы все же думаете, что ошибка кроется в сервере, такое могло быть? Интересно, почему мой клиент OSX в этом случае будет работать нормально? - person; 22.03.2013