Discussion :

[kenpanda]

Bonjour !

J'essaye depuis quelques jours de configurer un service pour avoir une authentification mutuelle du client et du serveur par des certifs X509.

Je suis arrivé à configurer le certificat pour l'authentification du serveur et l'encryption du message sans trop de difficultés.

Pour l'autentification du client ça semble un poil plus compliqué.
Pas de soucis si je peux me contenter d'une authentification par le message lui-même

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<security mode="TransportWithMessageCredential">
  <message clientCredentialType="Certificate" />
</security>

Mais comme je suis exigeant, je veux une authentification du client au niveau du transport :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<security mode="Transport">
  <transport clientCredentialType="Certificate" />
</security>

Le service est hosté par mon serveur local IIS7.5.
J'ai déjà résolu les problème 'usuels' en activant le system.webServer/security/authentication/clientCertificateMappingAuthentication, le mapping entre le certificat et un utilisateur, le flag SslReqCert.

Malheureusement, le serveur web semble ne pas recevoir le certificat du client (réponse 403.7).



Quelqu'un pourrait-il m'aider à tracer ce problème ?

[Cédric B.]

Salut Kenpanda,

Bon j'avais aussi eu ce genre de problème il y a longtemps déjà, alors ci-dessous ce je te transmets quelques lignes de code qui pourront peut être t'aidre. A signaler que dans mon cas, j'avais auparant créé une classe Interface pour atteindre le service Web Client:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
...
ServiceClient.ClientCertificates.Add(X509Certificate.CreateFromCertFile(certFile));
...
 
credentials.UserName = username;
credentials.Password = password;
ServiceClient.PreAuthenticate = true;
cache.Add(new Uri(url), authType, credentials);
ServiceClient.Credentials = cache;
ServiceClient.EnableDecompression = true;
....

Dans mon cas, si je ne mettais "ServiceClient.EnableDecompression = true", j'avais une erreur, mais je ne me souviens plus si c'est du même type que la tienne.

Bon développement!

Cédric

[kenpanda]

Un grand merci pour cette réponse, mais actuellement, je penche plus pour un problème de config d'IIS 7 , et ce pour 2 raisons principales :
- quand je tente d'accéder à une page dummy via un browser (chrome, ff, ie), il ne demande pas de sélectionner le certif. (et pourtant il y en a plusieurs possibles)

- une web request est refusée avec la même erreur 4.7:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
X509Certificate cert = X509Certificate.CreateFromCertFile("C:\\TEMP\\WCFUser.cer");
 
HttpWebRequest Request = (HttpWebRequest)WebRequest.Create("https://xxxx-yyyy.zzz.dd/GatewaySvc/index.htm");
Request.ClientCertificates.Add(cert);
 
Request.UserAgent = "Client Cert Sample";
Request.Method = "GET";
HttpWebResponse Response = (HttpWebResponse)Request.GetResponse();
 
Console.WriteLine("{0}", Response.Headers);

[Cédric B.]

Salut Kanpenda,

au niveau de IIS, je connais moins et de ce fait je peux moins t'aider! Mais si tu peux essayer sur un autre serveur avec une version d'IIS différent, cela pourra peut être t'aider aussi!

Bon développement

Cédric

[kenpanda]

Thx,

C'est la prochaine étape que j'avais envisagée dès que mon TL aura remis ce projet dans la liste des priorités (quelle magnifique époque ...)

[kenpanda]

Donne un meuble ikea à un homme, il s'amusera une journée.
Donne un meuble ikea à un homme sans le plan, il s'amusera toute la semaine.

En fait j'avais créé un self-signed certificate pour le serveur, et réutilisé ce certif pour générer le client certificate, plutôt que de créer un certif pour une Trusted Authority commune.