兩種方式 SSL - X509Certificate2.CreateFromPemFile - WINHTTP_CALLBACK_STATUS_REQUEST_ERROR

Question

我正在嘗試調用 API 這需要兩種方式 SSL （TLS 1.2），我有以下代碼：

var myCert = X509Certificate2.CreateFromPemFile(_publicFilename, _privateFilename);

using (var handler = new WinHttpHandler())
{
    handler.ClientCertificateOption = ClientCertificateOption.Manual;
    handler.ServerCertificateValidationCallback = (x, y, z, w) => true;
    handler.ClientCertificates.Add(myCert);
    handler.SslProtocols = SslProtocols.Tls12;

    using (var client = new HttpClient(handler))
    {
        var postData = new StringContent("", UnicodeEncoding.UTF8, "application/json");
        var response = await client.PostAsync("<API Endpoint>", postData);

        string responseString = await response.Content.ReadAsStringAsync();
        Console.WriteLine(responseString);
    }
}

但是，當我調用時，我得到以下 WinHttp 異常：

調用 WINHTTP_CALLBACK_STATUS_REQUEST_ERROR 時出現錯誤 12185，“客戶端證書中沒有可用的憑據。”。

同樣在 windows 事件查看器中，我收到以下錯誤消息：

TLS 客戶端憑證的證書沒有附加私鑰信息屬性。 這種情況最常發生在證書備份不正確然后又恢復時。 此消息還可以指示證書注冊失敗。

無法弄清楚問題是什么。 我在 postman 中使用完全相同的證書和密鑰，它工作正常。

Answer 1

Windows（WinHttpHandler、SslStream 或默認的 HTTP 處理程序（使用 SslStream））上的 TLS 要求證書具有命名的私鑰。

您可以通過在沒有 PersistKeySet 的情況下導入 PFX 來臨時執行此操作……但是如何獲得 PFX？ 嗯，很容易。

var myCert = X509Certificate2.CreateFromPemFile(_publicFilename, _privateFilename);

using (var tmpCert = new X509Certificate2(myCert.Export(X509ContentType.Pfx)))
using (var handler = new WinHttpHandler())
{
    ...
    handler.ClientCertificates.Add(tmpCert);
    ...
}

當 tmpCert 被 Disposed 時，命名的密鑰將被刪除。 如果您的壽命很復雜或很長，則可以不在 using 語句中創建證書。 如果證書被垃圾收集並且進程保持活動足夠長的時間來運行終結器，那么密鑰將被清理。