当前位置: 首页 > news >正文

分析 ServerCertificateChain#

先提供结论:kestrel 目前只能读取到 Endpoint 下配置的 pem 格式证书文件的证书链,其它三种情况都有BUG。

证书配置位置证书文件类型证书链读取
EndpointPEM
EndpointPfx×
DefaultPEM×
DefaultPfx×

遇到问题不要慌,先 AI 分析一波,AI 告诉要设置 ServerCertificateChain

Copy

builder.WebHost.ConfigureKestrel(kestrel => { kestrel.ConfigureHttpsDefaults(https => { https.ServerCertificateChain = 自己实现从证书文件读取; }); });

我有点想怼 AI,kestrel 不可能不读取证书文件的证书链,于是我加了行 ServerCertificateChain 不为 null 的断言,同时在配置文件的默认证书了放了 ssl 证书:

Copy

builder.WebHost.ConfigureKestrel(kestrel => { kestrel.ConfigureHttpsDefaults(https => { https.OnAuthenticate = (context, options) => { Debug.Assert(https.ServerCertificateChain is not null); }; }); });

Copy

{ "Kestrel": { "Endpoints": { "Https": { "Url": "https://*:443" }, "Certificates": { "Default": { "Path": "certs/test_bundle.crt", "KeyPath": "certs/test.key" } } } }

结果还真炸起来了,Debug.Assert 断言不通过!
这泥马 https.ServerCertificateChain 为 null,证书链短一节我一点都不觉得荒唐了,但为什么为 null 呢,我翻了 ASP.NET core 的 issues,找到25年3月报告的一个问题:Kestrel inconsistent certificate chain handling between endpoint and default configuration,描述的是证书放到 Default 节点后,表现为和放到 Endpoint(Https) 节点不一样,我们现在把配置文件改成如下:

Copy

{ "Kestrel": { "Endpoints": { "Https": { "Url": "https://*:443", "Certificate": { "Path": "certs/test_bundle.crt", "KeyPath": "certs/test.key" } } } } }

现在能读取到 ServerCertificateChain,看来AI说得没错,https.ServerCertificateChain = 自己实现从证书文件读取,可以弥补 Default 证书不读取证书链的问题,假设我们手动设置了 ServerCertificateChain,证书也是配置在Endpoint下,最终保留的来源于哪里的证书链呢?做了以下实验后,发现是证书文件的证书链优先。

Copy

builder.WebHost.ConfigureKestrel(kestrel => { kestrel.ConfigureHttpsDefaults(https => { // 手动设置 ServerCertificateChain https.ServerCertificateChain = []; https.OnAuthenticate = (context, options) => { // 断言成立,如果能读取到证书文件的证书链,手动设置的 ServerCertificateChain 会被覆盖 Debug.Assert(https.ServerCertificateChain is not null && https.ServerCertificateChain.Count > 0); }; }); });

我把证书格式改成带证书链的 pfx,配置在 Endpoint 节下,发现 kestrel 读取到的证书链不为 null ,但总是 0 个元素,翻看最新的源码,看到 kestrel 目前只简单粗暴的通过X509Certificate2Collection.ImportFromPemFile())来读取证书链,对于 pfx 格式,这肯定 import 不到内容哈。

使用 ServerCertificateChain#

经过上述深入的分析,只要我们使用 PEM 格式的证书文件,并且配置在 Endpoint 节下,那么 kestrel 就能使用上证书文件里提供的中间证书,最后生成和 nginx 一样的证书链。

我迫不及待地搭建了一个测试服务器,用上和 nginx 一样的 PEM 证书,满怀信心地使用 openssl 客户端来验证,可我发现还是验证不通过!

我确定 kestrel 已经从 PEM 证书文件里原封地读取到了证书链且设置了 https.ServerCertificateChain,但在 tls 握手时,服务器响应的证书链变短了。

翻看了 HttpsConnectionMiddleware 源码,发现 serverCertificateContext 的构建方式是依赖于系统证书 store,https.ServerCertificateChain 只不过是其构建过程中可能用到的辅料罢了,或者说几乎所有服务器操作系统环境,https.ServerCertificateChain 有值或为 null ,生成的 serverCertificateContext 一般都不会有差异。

我们通过自定义生成 ServerCertificateContext 并应用到 kestrel,最终发现生成的证书链和 nginx 的完全一样,在客户端设备上进行 https 连接成功。

Copy

builder.WebHost.ConfigureKestrel(kestrel => { kestrel.ConfigureHttpsDefaults(https => { https.OnAuthenticate = (context, options) => { var chain = https.ServerCertificateChain; Debug.Assert(chain is not null && chain.Count > 0); // ServerCertificateContext 要缓存,不能每次 OnAuthenticate 都创建新的 ServerCertificateContext,否则性能会非常差。 var serverCertificate = options.ServerCertificate as X509Certificate2; var trust = SslCertificateTrust.CreateForX509Collection(chain); options.ServerCertificateContext = SslStreamCertificateContext.Create(serverCertificate!, chain, false, trust); }; }); });

http://www.jsqmd.com/news/1144737/

相关文章:

  • 15个实用的JSON工具,格式化与验证
  • 15个实用的Git工具,版本控制效率提升
  • python神经网络编程入门(四)----神经网络误差反向传播完全图解
  • redis性能优化
  • 儿童阅读,选对读物能够激发孩子好奇心
  • FastAPI基础入门
  • 如何在Linux上实现毫秒级文件搜索:FSearch完整指南
  • 多项目采购怎么统一管?2026水利工程采购统筹与软件选型指南
  • 17-任职体系建设的10大坑,你踩了几个?(上)
  • 15个实用的代码审查工具,自动化检查
  • 分布式系统理论取舍原则分析
  • RocketMQ C++ SDK 完整实战教程|NameServer 集群、全局单例、消息重试与死信处理
  • 混沌密码理论与研究调研报告
  • 电商控价公司服务包括哪些?投诉维权怎么配合
  • 3步构建你的Limbus Company智能自动化助手:从零到实战完整指南
  • 基于 ESP32 的便携式心电信号采集与显示系统设计与实现
  • cifar10-python.tar.gz下载问题
  • Day 2:定位策略入门
  • 堡垒机 Web CLI 部署教程
  • Openclaw 微信渠道总刷屏英文 Thinking?一行 Prompt 搞定!
  • 15个实用的Markdown编辑器,写作体验
  • Java 转大模型开发:后端程序员的升级路线-2468
  • 所谓Skill,不过是包装好的Prompt
  • 支持外挂字幕的视频播放器推荐
  • RAG 2026 实战指南:从朴素检索到高性能Agentic/Graph混合架构
  • Java面向对象核心知识点总结(类与对象、构造方法、Getter/Setter、内存执行机制)
  • 【创新未发表】Matlab实现能量谷优化算法EVO-Kmean-Transformer-BiLSTM负荷预测算法研究
  • 拉普拉斯噪声机制 (ε-DP) 实战:Python 实现 3 种敏感度计算与噪声注入
  • 终极指南:如何使用wwiseutil轻松修改Wwise音频容器
  • 工业现场LED光学测试的稳定的方法