我们在Microsoft Azure中部署CloudService的时候,可能会用到证书。通常在两种情况下需要用到证书。一是把证书安装在服务器端。此时证书用来建立HTTPS/SSL连接,以便保护传输中的数据。二是把证书部署在客户端。此时客户端发起连接请求时,它会把证书信息添加到请求中。服务器端收到请求之后,会验证其中的证书是不是合法的证书。这种情况下证书是用来验证用户的。接下来我们分两种情况来讨论如何管理证书。
把证书安装在服务器端
假设我们用ASP .NET的Web API开发一个WebRole的CloudService。如果我们希望用户连接这个由WebAPI开发的服务器端时需要建立HTTPS连接,那么我们就得在服务器端安装证书。CloudService是部署在Azure的虚拟机上,我们自然不喜欢每次部署CloudService的时候都远程登陆到虚拟机上手动安装证书。
为了能够在部署Cloud Service的时候自动安装证书,我们首先需要把证书上传到CloudService上。在Azure的管理网站(https://manage.windowsazure.cn)的CloudService相应的网页上,我们可以找到管理证书的页面,如下图所示:
接着我们在Cloud Service的ServiceDefinition.csdef文件中添加如下内容:
<Certificates>
<Certificate name="xxxxyyyy" storeLocation="LocalMachine" storeName="My" />
</Certificates>
这里我们指定了Cloud Service需要用到一个证书。该证书正是我们刚刚上传的证书。在部署CloudService时,Azure会自动把该证书安装到虚拟机上去。
接下来我们打开一个HTTPS的端口。这需要在CloudService的ServiceDefinition.csdef文件中再添加如下内容:
<Sites>
<Site name="Web">
<Bindings>
<Binding name="Endpoint1" endpointName="Endpoint1" />
</Bindings>
</Site>
</Sites>
<Endpoints>
<InputEndpoint name="Endpoint1" protocol="https" port="443" certificate="xxxxyyyy"/>
</Endpoints>
在上述内容中我们定义了一个端口是 443 的 EndPoint ,与这个 EndPoint 连接的协议是 HTTPS 。我们还设置了建立 HTTPS 需要的证书。当客户端试图连接该服务器端时,部署着 CloudService 的虚拟机上的 IIS 就会自动找到该证书,并用该证书建立 HTTPS 连接。
把证书安装在客户端
我们在开发一个服务器端程序时,经常会限制只有特定的用户才能连接该服务器。通常有两种办法实现限制。一种办法是给合法的用户建立账号和密码,让合法的用户在使用服务之前先输入用户名和密码进行验证。另一种办法是给合法用户一张证书。这些用户来建立连接使用服务的时候都要附上证书。服务器端会根据请求中的证书来验证请求是否合法。
如果是用证书来验证用户,那么需要在客户端安装证书。假设客户端用HttpClient和服务器端建立连接,那么客户端可以通过如下代码在请求中附上证书信息:
X509Certificate2 certificate = GetCertificateByThumprint(thumprint);
var webRequestHandler = new WebRequestHandler();
webRequestHandler.ClientCertificateOptions= ClientCertificateOption.Manual;
webRequestHandler.UseDefaultCredentials= false;
webRequestHandler.ClientCertificates.Add(certificate);
httpClient= new HttpClient(webRequestHandler);
为了让服务器端在接收到请求时验证证书信息,我们首先要在服务器端的配置中添加一个 MessageHandler 。如果是用 ASP.NET 的 WEBAPI 实现服务器端,可以在 WebApiApplication . Application_Start 添加如下代码:
GlobalConfiguration.Configuration.MessageHandlers.Add(new CertificateAuthenticationHandler());
该 Handler 可以用如下代码实现:
public class CertificateAuthenticationHandler : DelegatingHandler
{
protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, System.Threading.CancellationToken cancellationToken)
{
X509Certificate2 certificate = request.GetClientCertificate();
if(!CertificateValidator.IsValid(certificate))
{
return Task<HttpResponseMessage>.Factory.StartNew(() =>
request.CreateResponse(HttpStatusCode.Unauthorized));
}
return base.SendAsync(request, cancellationToken);
}
}
在上述代码中,我们每收到一个请求,都会从请求中得到附带的证书信息,然后再验证证书是否合法。如果证书无效,则返回代码为401的HTTP错误代码。
上述代码并没有问题,可是当我们运行服务器端代码是,就会发现并没有从请求中读出的证书信息总是null。
不能从请求中读出证书信息的原因是服务器端的IIS没有接收证书。在IIS里有一个SSL选项是用来决定是否接收证书。它的默认设置如下:
在IIS的默认设置里,来自客户端的证书被忽视了,那么自然前面的代码不能得到证书信息。因此我们不得不让服务器端的IIS接受来自客户端的证书。为了实现这一目的,我们首先需要在服务器端代码的web.config文件里添加如下内容:
<system.webServer>
<security xdt:Transform="Insert">
<access sslFlags="Ssl, SslNegotiateCert" />
</security>
</system.webServer>
上述配置文件定了IIS的配置参数。接下来我们需要写一个脚本来修改IIS的配置参数:
%windir%\system32\inetsrv\appcmd unlock config/section:system.webServer/security/access
为了让服务器端程序对应的Web Role在启动的时候自动调用上述脚本(假设命名为UnlockConfig.cmd),我们在CloudService的ServiceDefinition.csdef中添加如下内容:
<Startup>
<Task commandLine="StartupTasks\UnlockConfig.cmd" executionContext="elevated" taskType="background" />
</Startup>
上述内容定义了在Web Role启动的时候需要执行一个任务,即在Web Role启动的时候自动执行前面的脚本文件修改IIS的配置,接收来自客户端的证书。在修改IIS的配置参数之后,IIS的界面显示如下: