1. 首页
  2. 问答
  3. 如何验证LDAP + SSL连接的服务器SSL证书

如何验证LDAP + SSL连接的服务器SSL证书

2016-12-07 319 views
0

我们的应用程序适用于Active Directory用户和组。我们在端口389上使用LDAP进行Active Directory操作。现在,我们的一位客户希望我们添加一个使用LDAP + SSL进行Active Directory通信的选项。如何验证LDAP + SSL连接的服务器SSL证书

他们告诉我们他们有一个本地CA安装在他们的域上,并使用LDAPS的自签名证书。他们还告诉我们,他们会提供证书,不需要相互信任,我们应该使用Windows证书存储。

我开发了一个用于LDAP + SSL操作的测试应用程序,并且在客户端启动LDAP + SSL连接时看到该服务器发送其证书。我只能通过从服务器证书验证方法返回true来建立连接。

问题是; - 客户应该给我哪个证书(根,用于LDAP + SSL的证书...)?

工作在.Net环境中的证书格式应该是什么?

连接服务器时应该如何验证服务器的证书?

他们的意思是“我们应该使用Windows证书存储”?他们是否希望我们将服务器的证书自动添加到本地计算机的受信任证书存储区?

示例代码我使用LDAP + SSL连接,

LdapConnection _connection = new LdapConnection(new LdapDirectoryIdentifier(m_DomainName, m_PortNo)); 
_connection.Timeout = TimeSpan.FromMinutes(10); 
_connection.AuthType = AuthType.Basic; 
_connection.Credential = new NetworkCredential(m_UserName, m_Password); 

_connection.SessionOptions.ProtocolVersion = 3; 
_connection.SessionOptions.SecureSocketLayer = true; 

_connection.SessionOptions.VerifyServerCertificate = (ldapCon, serverCertificate) => 
{ 
    //TODO: Verify server certificate 
    return true; 
}; 
_connection.SessionOptions.QueryClientCertificate = (con, trustedCAs) => null; 

_connection.Bind();

来源

2016-12-07 NthDeveloper

回答

1

哪个证书(根,用于LDAP + SSL的ceritificate ...)应客户给我们?

签名LDAP服务器证书的根证书。他们也可以提前给你整个链,但无论如何这将在TLS握手期间发送。您只需提前获得根证书即可。

什么应该是在.Net环境下工作的证书格式?

任何可导入certmgr.msc的内容。 Pfx是Windows上的常用选择。

连接服务器时应该如何验证服务器的证书?

你不应该自己写验证。证书验证是棘手的业务,它已经为您完成。使用内置的东西(也见下文)。

他们的意思是“我们应该使用Windows证书存储”?他们是否希望我们将服务器的证书自动添加到本地计算机的受信任证书存储区?

是的。他们会向您发送用于签署ldap服务器证书的根证书,然后您可以将其导入为受信任的根证书。完成此操作后,您无需进行任何手动验证,只需使用有效证书即可运行™:),并且无法使用无效验证。

请注意,一旦您将他们的根证书添加为受信任的,他们可以伪造其安装根目录的客户端的任何服务器证书,并且他们签名的任何内容都将在该客户端上被视为有效。

奖励:将半定制验证和调试证书错误

一个问题,你可能面对的就是错误消息不是非常有帮助。如果证书无法验证,您将得到一个非常通用的错误消息,并没有提示实际问题。出于其他原因,您可能也想挂钩验证过程。

为此,你可以定义自己的验证:

private bool VerifyServerCertificate(LdapConnection ldapConnection, X509Certificate certificate) 
{ 
    X509Certificate2 certificate2 = new X509Certificate2(certificate); 
    return certificate2.Verify(); 
}

然后将其添加到LDAP连接:

_connection.SessionOptions.VerifyServerCertificate = 
    new VerifyServerCertificateCallback(VerifyServerCertificate);

这样你就可以赶上Verify()等,但再一次例外,如果证书是有效的(可以由客户验证),这并不是严格需要的,无论如何都是自动完成的。你只需要这个,如果你想要的东西没有实现,例如你可以在VerifyServerCertificate返回true来接受任何证书,包括无效的证书(这将是一个坏主意,并使一个安全的连接无用,但可能会对调试等)。

您可以在此方法中实现的另一件事是certificate pinning以获得额外的安全性,但这超出了本答案的范围。

来源

2016-12-07 09:29:53

+0

@Lengyel,这些答案真的是我想要的,非常感谢 – NthDeveloper

1

BTW:自2000年5月推出针对LDAP v3的StartTLS扩展操作(RFC 2830)以来,不推荐使用LDAPS(针对LDAP v2制定)。

来源

2016-12-07 18:56:31 marabu

相关问题

 相关问题