Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Kelas System.Net mendukung beberapa cara untuk memilih dan memvalidasi System.Security.Cryptography.X509Certificates koneksi Secure Socket Layer (SSL). Klien dapat memilih satu atau beberapa sertifikat untuk mengautentikasi dirinya sendiri ke server. Server dapat mengharuskan sertifikat klien memiliki satu atau beberapa atribut khusus untuk autentikasi.
Definisi
Sertifikat adalah aliran byte ASCII yang berisi kunci publik, atribut (seperti nomor versi, nomor seri, dan tanggal kedaluwarsa) dan tanda tangan digital dari Otoritas Sertifikat. Sertifikat digunakan untuk membuat koneksi terenkripsi atau untuk mengautentikasi klien ke server.
Pemilihan dan Validasi Sertifikat Klien
Klien dapat memilih satu atau beberapa sertifikat untuk koneksi SSL tertentu. Sertifikat klien dapat dikaitkan dengan koneksi SSL ke server web atau server email SMTP. Klien menambahkan sertifikat ke kumpulan X509Certificate objek atau X509Certificate2 kelas. Menggunakan email sebagai contoh, koleksi sertifikat adalah instans yang terkait dengan properti X509CertificateCollection dari kelas ClientCertificates. Kelas HttpWebRequest ini memiliki properti serupa ClientCertificates .
Perbedaan utama antara X509Certificate kelas dan X509Certificate2 adalah bahwa kunci privat harus berada di penyimpanan sertifikat untuk X509Certificate kelas .
Bahkan jika sertifikat ditambahkan ke koleksi dan terkait dengan koneksi SSL tertentu, tidak ada sertifikat yang akan dikirim ke server kecuali server memintanya. Jika beberapa sertifikat klien diatur pada koneksi, sertifikat terbaik akan digunakan berdasarkan algoritma yang mempertimbangkan kecocokan antara daftar penerbit sertifikat yang disediakan oleh server dan nama penerbit sertifikat klien.
Kelas SslStream ini memberikan kontrol yang lebih besar atas jabat tangan SSL. Klien dapat menentukan delegasi untuk memilih sertifikat klien mana yang akan digunakan.
Server jarak jauh dapat memverifikasi bahwa sertifikat klien valid, saat ini, dan ditandatangani oleh Otoritas Sertifikat yang sesuai. Delegasi dapat ditambahkan ke ServerCertificateValidationCallback untuk menerapkan validasi sertifikat.
Pemilihan Sertifikat Klien
.NET Framework memilih sertifikat klien untuk disajikan ke server dengan cara berikut:
Jika sertifikat klien disajikan sebelumnya ke server, sertifikat di-cache saat pertama kali disajikan dan digunakan kembali untuk permintaan sertifikat klien berikutnya.
Jika ada delegasi, selalu gunakan hasil dari delegasi tersebut sebagai sertifikat klien yang akan dipilih. Cobalah untuk menggunakan sertifikat yang di-cache jika memungkinkan, tetapi jangan gunakan kredensial anonim cache jika delegasi telah mengembalikan null dan koleksi sertifikat tidak kosong.
Jika ini adalah tantangan pertama untuk sertifikat klien, Kerangka Kerja menghitung sertifikat di X509Certificate atau X509Certificate2 objek kelas yang terkait dengan koneksi, mencari kecocokan antara daftar penerbit sertifikat yang disediakan oleh server dan nama penerbit sertifikat klien. Sertifikat pertama yang cocok dikirim ke server. Jika tidak ada sertifikat yang cocok atau koleksi sertifikat kosong, kredensial anonim dikirim ke server.
Alat untuk Konfigurasi Sertifikat
Sejumlah alat tersedia untuk konfigurasi sertifikat klien dan server.
Alat Winhttpcertcfg.exe dapat digunakan untuk mengonfigurasi sertifikat klien. Alat Winhttpcertcfg.exe disediakan sebagai salah satu alat dengan Windows Server 2003 Resource Kit. Alat ini juga tersedia sebagai unduhan sebagai bagian dari Alat Kit Sumber Daya Windows Server 2003 di www.microsoft.com.
Alat HttpCfg.exe dapat digunakan untuk mengonfigurasi sertifikat server untuk kelas.HttpListener Alat HttpCfg.exe disediakan sebagai salah satu alat dukungan untuk Windows Server 2003 dan Windows XP Service Pack 2. HttpCfg.exe dan alat dukungan lainnya tidak diinstal secara default pada Windows Server 2003 atau Windows XP. Pada Windows Server 2003. alat dukungan diinstal secara terpisah dari folder dan file berikut pada Windows Server 2003 CD-ROM:
\Support\Tools\Suptools.msi
Untuk digunakan dengan Windows XP Service Pack 2, Alat Dukungan Windows XP tersedia sebagai unduhan dari www.microsoft.com.
Kode sumber ke versi alat HttpCfg.exe juga disediakan sebagai sampel dengan Windows Server SDK. Kode sumber ke sampel HttpCfg.exe diinstal secara default dengan sampel jaringan sebagai bagian dari Windows SDK di bawah folder berikut:
C:\Program Files\Microsoft SDKs\Windows\v1.0\Samples\NetDS\http\serviceconfig
Selain alat-alat ini, X509Certificate kelas dan X509Certificate2 menyediakan metode untuk memuat sertifikat dari sistem file.
Lihat juga
Berkolaborasi dengan kami di GitHub
Sumber untuk konten ini dapat ditemukan di GitHub, yang juga dapat Anda gunakan untuk membuat dan meninjau masalah dan menarik permintaan. Untuk informasi selengkapnya, lihat panduan kontributor kami.
