Создание самозаверяющих сертификатов с помощью интерфейса командной строки .NET

Существуют различные способы создания и использования самозаверяемых сертификатов для сценариев разработки и тестирования. В этой статье рассматриваются использование самозаверяемых сертификатов и dotnet dev-certsдругих параметров, таких как PowerShell и OpenSSL.

Затем можно проверить, что сертификат будет загружен, с помощью примера, такого как приложение ASP.NET Core, размещенное в контейнере.

Необходимые компоненты

Для dotnet dev-certs следует убедиться в том, что установлена соответствующая версия .NET:

• Установка .NET в Windows
• Установка .NET в Linux
• Установка .NET в macOS

Для работы с этим примером требуется Docker 17.06 или клиент Docker более поздней версии.

Подготовка примера приложения

В рамках этого руководства вы будете использовать пример приложения и внесете необходимые изменения.

Убедитесь, что пример приложения Dockerfile использует .NET 8.

В зависимости от операционной системы узла может потребоваться обновить среду выполнения ASP.NET. Например, чтобы нацелиться на соответствующую среду выполнения Windows, перейдите mcr.microsoft.com/dotnet/aspnet:8.0-nanoservercore-2009 AS runtime на mcr.microsoft.com/dotnet/aspnet:8.0-windowsservercore-ltsc2022 AS runtime файл Dockerfile.

Например, это поможет при тестировании сертификатов в Windows:

# https://hub.docker.com/_/microsoft-dotnet
FROM mcr.microsoft.com/dotnet/sdk:8.0 AS build
WORKDIR /source

# copy csproj and restore as distinct layers
COPY *.sln .
COPY aspnetapp/*.csproj ./aspnetapp/
RUN dotnet restore -r win-x64

# copy everything else and build app
COPY aspnetapp/. ./aspnetapp/
WORKDIR /source/aspnetapp
RUN dotnet publish -c release -o /app -r win-x64 --self-contained false --no-restore

# final stage/image
FROM mcr.microsoft.com/dotnet/aspnet:8.0-windowsservercore-ltsc2022 AS runtime
WORKDIR /app
COPY --from=build /app ./
ENTRYPOINT ["aspnetapp"]

При тестировании сертификатов в Linux можно использовать существующий Файл Dockerfile.

Убедитесь, что aspnetapp.csproj включает соответствующую целевую платформу:

<Project Sdk="Microsoft.NET.Sdk.Web">

  <PropertyGroup>
    <TargetFramework>net8.0</TargetFramework>
    <!--Other Properties-->
  </PropertyGroup>

</Project>

Примечание.

Если вы хотите использовать параметры dotnet publish для обрезки развертывания, убедитесь, что соответствующие зависимости включены для поддержки SSL-сертификатов. Обновите файл dotnet-docker\samples\aspnetapp\aspnetapp.csproj, чтобы убедиться, что соответствующие сборки включены в контейнер. Для справки проверка, как обновить CSPROJ-файл для поддержки SSL-сертификатов при использовании обрезки для автономных развертываний.

Убедитесь, что вы указали на пример приложения.

cd .\dotnet-docker\samples\aspnetapp

Создайте контейнер для локального тестирования.

docker build -t aspnetapp:my-sample -f Dockerfile .

Создание самозаверяющего сертификата

Самозаверяющий сертификат можно создать:

• С помощью dotnet dev-certs
• С помощью PowerShell
• С помощью OpenSSL

С помощью dotnet dev-certs

Для работы с самозаверяющими сертификатами можно использовать dotnet dev-certs.

dotnet dev-certs https -ep $env:USERPROFILE\.aspnet\https\aspnetapp.pfx -p crypticpassword
dotnet dev-certs https --trust

Примечание.

Имя сертификата, в данном случае aspnetapp.pfx, должно совпадать с именем сборки проекта. crypticpassword используется в качестве замены пароля на ваш выбор. Если консоль возвращает сообщение "Допустимый HTTPS-сертификат уже существует", то в вашем хранилище уже есть доверенный сертификат. Его можно экспортировать с помощью консоли MMC.

Настройте секреты приложения для сертификата:

dotnet user-secrets -p aspnetapp\aspnetapp.csproj init
dotnet user-secrets -p aspnetapp\aspnetapp.csproj set "Kestrel:Certificates:Development:Password" "crypticpassword"

Примечание.

Примечание. Пароль должен совпадать с паролем, используемым для сертификата.

Запустите образ контейнера с ASP.NET Core, настроенным для HTTPS:

docker run --rm -it -p 8000:80 -p 8001:443 -e ASPNETCORE_URLS="https://+;http://+" -e ASPNETCORE_HTTPS_PORT=8001 -e ASPNETCORE_ENVIRONMENT=Development -v $env:APPDATA\microsoft\UserSecrets\:C:\Users\ContainerUser\AppData\Roaming\microsoft\UserSecrets -v $env:USERPROFILE\.aspnet\https:C:\Users\ContainerUser\AppData\Roaming\ASP.NET\Https mcr.microsoft.com/dotnet/samples:aspnetapp

После запуска приложения перейдите по адресу https://localhost:8001 в веб-браузере.

Очистка

Если секреты и сертификаты не используются, обязательно очистите их.

dotnet user-secrets remove "Kestrel:Certificates:Development:Password" -p aspnetapp\aspnetapp.csproj
dotnet dev-certs https --clean

С помощью PowerShell

Для создания самозаверяющих сертификатов можно использовать PowerShell. Клиент PKI можно использовать для создания самозаверяющего сертификата.

$cert = New-SelfSignedCertificate -DnsName @("contoso.com", "www.contoso.com") -CertStoreLocation "cert:\LocalMachine\My"

Сертификат будет создан, однако в целях тестирования следует поместить его в хранилище сертификатов для тестирования в браузере.

$certKeyPath = "c:\certs\contoso.com.pfx"
$password = ConvertTo-SecureString 'password' -AsPlainText -Force
$cert | Export-PfxCertificate -FilePath $certKeyPath -Password $password
$rootCert = $(Import-PfxCertificate -FilePath $certKeyPath -CertStoreLocation 'Cert:\LocalMachine\Root' -Password $password)

На этом этапе сертификаты должны быть доступны для просмотра с помощью оснастки консоли управления.

Вы можете запустить образец контейнера в подсистеме Windows для Linux (WSL):

docker run --rm -it -p 8000:80 -p 8001:443 -e ASPNETCORE_URLS="https://+;http://+" -e ASPNETCORE_HTTPS_PORT=8001 -e ASPNETCORE_ENVIRONMENT=Development -e ASPNETCORE_Kestrel__Certificates__Default__Password="password" -e ASPNETCORE_Kestrel__Certificates__Default__Path=/https/contoso.com.pfx -v /c/certs:/https/ mcr.microsoft.com/dotnet/samples:aspnetapp

Примечание.

Обратите внимание, что при подключении тома путь к файлу может обрабатываться по-разному на основе узла. Например, в WSL можно заменить /c/certs на /mnt/c/certs.

Если вы используете контейнер, созданный ранее для Windows, команда run должна выглядеть следующим образом:

docker run --rm -it -p 8000:80 -p 8001:443 -e ASPNETCORE_URLS="https://+;http://+" -e ASPNETCORE_HTTPS_PORT=8001 -e ASPNETCORE_ENVIRONMENT=Development -e ASPNETCORE_Kestrel__Certificates__Default__Password="password" -e ASPNETCORE_Kestrel__Certificates__Default__Path=c:\https\contoso.com.pfx -v c:\certs:C:\https aspnetapp:my-sample

Когда приложение откроется, перейдите по адресу contoso.com:8001 в браузере.

Убедитесь, что записи узла обновлены для contoso.com ответа на соответствующий IP-адрес (например, 127.0.0.1). Если сертификат не распознан, убедитесь, что сертификат, загружаемый вместе с контейнером, также является доверенным для узла, а также что для contoso.com имеются соответствующие записи SAN/DNS.

Очистка

$cert | Remove-Item
Get-ChildItem $certKeyPath | Remove-Item
$rootCert | Remove-item

С помощью OpenSSL

Для создания самозаверяющих сертификатов можно использовать OpenSSL. В этом примере используется WSL / Ubuntu и оболочка bash с OpenSSL.

Эта команда создает CRT и .key.

PARENT="contoso.com"
openssl req \
-x509 \
-newkey rsa:4096 \
-sha256 \
-days 365 \
-nodes \
-keyout $PARENT.key \
-out $PARENT.crt \
-subj "/CN=${PARENT}" \
-extensions v3_ca \
-extensions v3_req \
-config <( \
  echo '[req]'; \
  echo 'default_bits= 4096'; \
  echo 'distinguished_name=req'; \
  echo 'x509_extension = v3_ca'; \
  echo 'req_extensions = v3_req'; \
  echo '[v3_req]'; \
  echo 'basicConstraints = CA:FALSE'; \
  echo 'keyUsage = nonRepudiation, digitalSignature, keyEncipherment'; \
  echo 'subjectAltName = @alt_names'; \
  echo '[ alt_names ]'; \
  echo "DNS.1 = www.${PARENT}"; \
  echo "DNS.2 = ${PARENT}"; \
  echo '[ v3_ca ]'; \
  echo 'subjectKeyIdentifier=hash'; \
  echo 'authorityKeyIdentifier=keyid:always,issuer'; \
  echo 'basicConstraints = critical, CA:TRUE, pathlen:0'; \
  echo 'keyUsage = critical, cRLSign, keyCertSign'; \
  echo 'extendedKeyUsage = serverAuth, clientAuth')

openssl x509 -noout -text -in $PARENT.crt

Чтобы получить PFX-файл, используйте следующую команду:

openssl pkcs12 -export -out $PARENT.pfx -inkey $PARENT.key -in $PARENT.crt

Примечание.

Начиная с .NET 5, Kestrel может принимать CRT и PEM-кодированные файлы .key в дополнение к PFX-файлам с паролем.

В зависимости от ос узла сертификат должен быть доверенным. На узле Linux "доверие" сертификат отличается и зависит от дистрибутива.

Ниже приведен пример использования PowerShell в Windows.

Import-Certificate -FilePath $certKeyPath -CertStoreLocation 'Cert:\LocalMachine\Root'

Запустите пример с помощью следующей команды в WSL:

docker run --rm -it -p 8000:80 -p 8001:443 -e ASPNETCORE_URLS="https://+;http://+" -e ASPNETCORE_HTTPS_PORT=8001 -e ASPNETCORE_ENVIRONMENT=Development -e ASPNETCORE_Kestrel__Certificates__Default__Path=/https/contoso.com.crt -e ASPNETCORE_Kestrel__Certificates__Default__KeyPath=/https/contoso.com.key -v /c/path/to/certs:/https/ mcr.microsoft.com/dotnet/samples:aspnetapp

Примечание.

В WSL путь подключения тома может измениться в зависимости от конфигурации.

Выполните следующую команду в PowerShell:

docker run --rm -it -p 8000:80 -p 8001:443 -e ASPNETCORE_URLS="https://+;http://+" -e ASPNETCORE_HTTPS_PORT=8001 -e ASPNETCORE_ENVIRONMENT=Development -e ASPNETCORE_Kestrel__Certificates__Default__Path=c:\https\contoso.com.crt -e ASPNETCORE_Kestrel__Certificates__Default__KeyPath=c:\https\contoso.com.key -v c:\certs:C:\https aspnetapp:my-sample

Когда приложение откроется, перейдите по адресу contoso.com:8001 в браузере.

Убедитесь, что записи узла обновлены для contoso.com ответа на соответствующий IP-адрес (например, 127.0.0.1). Если сертификат не распознан, убедитесь, что сертификат, загружаемый вместе с контейнером, также является доверенным для узла, а также что для contoso.com имеются соответствующие записи SAN/DNS.

Очистка

Не забудьте очистить самозаверяющие сертификаты после завершения тестирования.

Get-ChildItem $certKeyPath | Remove-Item

См. также

• dotnet dev-certs