.NET下寄宿于控制台的HTTPS监听
附上原文链接:https://blogs.msdn.microsoft.com/jpsanders/2009/09/29/how-to-walkthrough-using-httplistener-or-http-server-unmanaged-code-c-as-an-ssl-simple-server/
写这边完全是怕原链接挂了,时间长了命令难以记住。
服务器监听代码
服务器代码只需将监听地址前缀改为https,其他都一样。
HttpListener httpListen = new HttpListener(); httpListen .Prefixes.Add("https://192.168.3.22:10022/xxx/"); httpListen .Start();
服务器生成自签名证书
这是MakeCert.exe的文档:http://msdn.microsoft.com/en-us/library/bfsktky3.aspx。可以使用此程序为应用程序生成自签名服务器证书。
使用Visual Studio 2008-2010,您只需使用程序菜单中的Visual Studio 2008或2010命令提示符即可访问MakeCert.exe。 (注意:对于Vista及更高版本,请确保您作为管理命令提示符运行,以便您具有适当的权限)
//MakeCert命令: makecert.exe -sr LocalMachine -ss MY -a sha1 -n“CN = jsan17708317”-sky exchange -pe -eku 1.3.6.1.5.5.7.3.1
该命令应该返回'Succeeded'。
现在,您需要确保Root Authority是可信的。要从上面使用的相同命令提示符执行此操作,请键入MMC。然后选择“文件”,“添加/删除管理单元...”
然后点击“添加”按钮,选择“证书”。点击“添加”按钮......
选择“计算机帐户”,然后单击“下一步>”,“完成”,“关闭”和“确定”。
您应该能够扩展左侧的树以显示个人证书并找到您刚添加的那个(我的唯一一个显示)...
双击您的证书,您将看到类似于此的内容:
您需要解决Red X问题(无法验证证书到受信任的根目录)。
单击此对话框中的“证书路径”选项卡,然后单击“查看证书”上的问题证书(根代理)。
您将看到问题是此证书不在“受信任的根”存储中。
要进入商店,请单击“详细信息”选项卡,然后单击“复制到文件...”按钮
点击“下一步>”两次,然后点击“浏览”按钮,将文件保存到本地文档目录(将其命名为“RootCert”),然后完成向导,直到您成功导出证书。现在我们将证书导入受信任的根存储区。
展开“受信任的根证书颁发机构”树,然后右键单击“证书”
从上下文菜单中选择“所有任务...”,然后选择“导入...”并导航到保存“RootCert”的位置,并通过完成向导导入证书。
现在,您应该可以返回到个人存储中的服务器证书,并查看证书没有问题(将此对话框保留为下一步):
这里的最后一步是获取指纹哈希以供下一节使用。
单击“详细信息”选项卡,然后向下滚动到对话框中的“指纹”字段,然后单击它。然后用鼠标扫除下面的数字(不要错过任何)并使用Ctrl + C组合键复制这些数字。
打开记事本并将这些数字粘贴到其中,以便在下一步中使用。
配置机器以使用证书
最后,您需要配置计算机以将刚刚创建的证书与HttpListener正在侦听https请求的端口和IP地址相关联。
更新:对于Vista及更高版本,您将使用此处列出的netsh http命令而不是httpcfg.exe:http://msdn.microsoft.com/en-us/library/cc307236( VS.85).aspx
您需要从命令行运行httpcfg并提供您在上一节中获得的哈希,但您需要删除这些数字之间的空格。在我的例子中,我删除了空格,哈希是:f4bb35424190e006e5476e97430c5b8136ee5da5
这是我运行的httpcfg命令,用于关联与我的机器和端口8081(/ i 0.0.0.0:8081)关联的所有IP地址的证书:
//httpcfg命令: httpcfg set ssl / i 0.0.0.0:8081/h f4bb35424190e006e5476e97430c5b8136ee5da5
对于Vista及更高版本,您需要先生成一个guid。从上面用过的VS提示符生成可以输入的证书:guidgen.exe。然后点击复制按钮复制新创建的GUID。将其与您的哈希一起粘贴到记事本中。您将需要文本的第一部分(例如:{FCB0C645-E745-490F-9E7D-2171E03DC9B0})进行下一步。
//netsh命令 netsh http add sslcert ipport = 0.0.0.0:8081 certhash = f4bb35424190e006e5476e97430c5b8136ee5da5 appid = {FCB0C645-E745-490F-9E7D-2171E03DC9B0}
运行时,您将看到结果:HttpSetServiceConfiguration以0结束。
现在仔细检查此计算机的SSL绑定:
C:\ Program Files \支持工具> httpcfg查询ssl
IP:
0.0.0.0:8081哈希:f4bb35424190e0 6e5476e9743 c5b8136ee5da5指导
:{00000000-0000-0000-0000-000000000000}
CertStoreName:(null)
CertCheckMode:0
RevocationFreshnessTime:0
UrlRetrievalTimeout: 0
SslCtlIdentifier:(null)
SslCtlStoreName:(null)
标志:0
------------------------------------ ------------------------------------------
对于Vista及以上命令是:netsh http show sslcert
故障排除
如果应用程序不起作用,首先验证您是否正确执行了上述每一步(没有遗漏某些内容或某些步骤)。
验证您的证书是否显示IP和Hash字段与您正在侦听的内容相对应,并且Hash是您先前为证书获取的哈希。
检查httpcfg查询ssl并查看是否有其他侦听器可能与同一端口冲突。使用命令http delete ssl / i xxxx:8081删除冲突(将xxxx替换为您在同一端口上侦听的任何IP地址)。
对于Vista及更高版本,请确保您使用管理权限运行HttpListener代码,否则您将无法注册您的计算机名称(您将获得访问被拒绝或来自非托管代码的错误代码5)。
补充信息
这是一个简单的例子。您可能不希望在处理一个请求后停止侦听。您需要提供一种方法来优雅地关闭侦听器并处理工作线程上的请求。
您可以在HttpCfg中指定特定的IP范围(在MSDN中搜索HttpCfg语法)。在我的示例中,您可以使用此绑定到IP地址10.10.3.4:httpcfg
set ssl / i 10.10.3.4:8081 / h f4bb35424190e006e5476e97430c5b8136ee5da5
您无法在同一端口上侦听http和https流量。
客户端代码
public bool CheckValidationResult(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors errors) { return true; } if (serverUrl.StartsWith("https", StringComparison.OrdinalIgnoreCase)) { ServicePointManager.ServerCertificateValidationCallback = new RemoteCertificateValidationCallback(CheckValidationResult); } X509Certificate2 cert = new X509Certificate2(@"C:\Users\Administrator\Documents\RootCert.cer"); objRequest.ClientCertificates.Add(cert);