Client certificate auth - моментально 403 Forbidden

[shadow7256]

Уважаемые,

на сервере есть WEB API (self hosted, имплементировано на .NET), которая требует при каждом запросе предьявить валидный Client Certificate.

Но вот какая проблема.

Когда я, с моей машины (А) из браузера пытаюсь вызвать какой то метод из этого API, то браузер мне вываливает окошко с предложением выбрать клиентский сертификат (из того списка сертификатов, что доступны на моей машине). Все четко и правильно. Браузер послал запрос к API, ему пришел ответ что нужен сертификат, он показал мне выбор сертификатов.

Когда я набираю тот же URL в браузере на другой машине (В), то мне сразу же возвращается 403 Forbidden ответ. Никакого диалога с выбором сертификатов я не получаю вообще.

Если я на стороне сервера (WEB API) отключу требование наличия клиентского сертификата, то я могу запрашивать API с обоих машин без проблем.
Но как только я включаю требование иметь клиентский сертификат, то на все запросы с машины В сразу же получаю 403 Forbidden в ответ.

У меня есть клиентское приложение (тоже на .NET) которое работает с API и в коде в каждом запросе прикладывает сертификат.

Если я запускаю прилоежние с моего компутера, то все в порядке и запрос уходит и обрабатывается сервером.

Как только я запускаю тоже самое приложение на машине В, то в клиентском коде сразу же получаю 403 forbidden ответ.

Получается какая то проблема между машиной В и сервером? Никак не пойму в чем дело..

Пытался Wireshark пронюзхать траффик между В и сервером, но ничего не смог найти.. одни TLS, TCP и UDP пакеты

[kostik78]

Два варианта - машина Б не поддерживает сайферы (старая SSL library) и по этому не устанавливается тунель и это видно в Wireshark. Либо на ней выключена negotiation и соотвественно не предлагается выбор сертификатов что тоже видно в Wireshark. Ещё советую включить ssl logs в .NET(как делается не знаю ибо не работаю с ним про жабу или нативный OpenSSL сказал бы сразу) и поглядеть там чем копаться в Wireshark

Я предполагаю что Ваш сервер обновлён и использует последние ssl и т.п. иначе может быть обратный вариант когда машина Б имеет более новые версии ssl и не хочет работать с «дырявым» сервером

[shadow7256]

Два варианта - машина Б не поддерживает сайферы (старая SSL library) и по этому не устанавливается тунель и это видно в Wireshark.

То есть намек на то, что до момента, когда клиенту (машине Б) пора выбирать сертификат дело даже не доходит и туннель рвется еще раньше (при TLS handshake) ?

Либо на ней выключена negotiation и соотвественно не предлагается выбор сертификатов что тоже видно в Wireshark.

Дело в том, что проблема с моментальным возвратом 403 происходит и в клиентском приложении. Там клиентский сертификат прикладывается внутри приложения, его не надо выбирать. Что то типа:

Code: Select all

HttpClient client = new HttpClient ();
client.ClientCertificates.Add (....);

Ещё советую включить ssl logs в .NET(как делается не знаю ибо не работаю с ним про жабу или нативный OpenSSL сказал бы сразу) и поглядеть там чем копаться в Wireshark

надо пошукать есть ли такое в .NET. В Wireshark очень уж муторно копаться, плюс там TLS протокол и все зашифровано.

Я предполагаю что Ваш сервер обновлён и использует последние ssl и т.п. иначе может быть обратный вариант когда машина Б имеет более новые версии ssl и не хочет работать с «дырявым» сервером

Кстати.. запускал браузер на самом СЕРВЕРЕ и пытался обратится к API, которая хостится на этом же сервере - никакого выбора сертификатов - сразу 403.

[kostik78]

Ну я бы проверил что тунель устанавливается и то что сервер присылает запрос на клиентский сертификат. Это все видно в SSL logs. Я думаю что дотнет позволяет такие логи включать на 100%. Но сразу говорю там дофига логов

[kostik78]

Кстати надеюсь Вы в клиенте регистрируете пару: сертификат и приватный ключ ?

[Sergunka]

Обычно это видно в handshake если дело идет в Яве там устанавливается системное проперти

System.setProperty("javax.net.debug", "ssl,handshake");

Что-то подобное должно быть и в .Нет

У меня об этом первая статья в блоге с годами оказалась самая популярная по числу посещений
https://vyatkins.wordpress.com/2013/11/ ... fications/

[shadow7256]

Вот в шарке вижу такие пакеты (236 это клиент, 234 это сервер)

Untitled.png

Клиент посылает Client hello, сервер отвечает Server hello и отсылает назад свой серверный сертификат (WEB API работает по HTTPS протоколу).

И вроде видно что потом клиент просит поменять сайфер - Change cipher spec. Дальше хрен знает что происходит..

[shadow7256]

Кстати надеюсь Вы в клиенте регистрируете пару: сертификат и приватный ключ ?

Вы про клиентский сертификат? да конечно, он установлен в Certificate store на стороне клиента (и на сервере тоже)

[kostik78]

Кстати надеюсь Вы в клиенте регистрируете пару: сертификат и приватный ключ ?

Вы про клиентский сертификат? да конечно, он установлен в Certificate store на стороне клиента (и на сервере тоже)

В клиентском коде когда Вы создаете http клиента, клиенту надо регистрировать клиентский сертификат и приватный ключ вместе иначе работать не будет. На стороне сервера обычно ставиться просто chain ... Индивидуальный клиентский сертификат регистрировать это в будущем проблем себе апдейтами искать на одно место но для отладки пойдет и так.

[shadow7256]

клиенту надо регистрировать клиентский сертификат и приватный ключ вместе

А что Вы имеете в виду ? На клиентской машине установлен Client certificate + private key. В коде мы его считываем из репозитория и подключаем в Http запрос.

Untitled.png

[shadow7256]

Захватил пакеты, когда клиенту показывается окошко для выбора сертификатов, но никак не могу понять в каком месте в этих пакетах указывается, что сервер требует клиентский сертификат

[kostik78]

клиенту надо регистрировать клиентский сертификат и приватный ключ вместе

А что Вы имеете в виду ? На клиентской машине установлен Client certificate + private key. В коде мы его считываем из репозитория и подключаем в Http запрос.

Untitled.png

Для mutual auth и чтобы клиентский сертификат посылался на запрос сервера клиент должен иметь и сертификат и ключ. Когда Вы работает с браузером браузер из стора берет оба. Мой вопрос был про то как Вы конфигурируете http client в коде. Убедитесь что Вы добавляете и сертификат и приватный ключ. Иначе ничего работать не будет.


Сервер запрашивает сертификат клиента в SERVER HELLO

[shadow7256]

Мой вопрос был про то как Вы конфигурируете http client в коде. Убедитесь что Вы добавляете и сертификат и приватный ключ. Иначе ничего работать не будет.

Да, конечно я добавляю и сертификат и ключ. Код просто считывает клиентский сертификат из Certificate store (как массив байтов) и добавляет его в запрос. Сертификат содержит приватный ключ, по другому работать не будет да.

Сервер запрашивает сертификат клиента в SERVER HELLO

Я рою в инете и вот что надыбал. Скорее всего происходит следующее:

Устанавливается HTTPS соединение

1. Клиент шлет Client Hello.
2. Cервер отвечает Server Hello (сервер НЕ запрашивает на данном этапе клиентский сертификат).
3. Клиент шлет Change cipher
4. Сервер отвечает.

Клиент пытается вызвать метод API и вот тут сервер сообщает клиенту, что нужно предоставить сертификат и происходит TLS Re-negotiation.

Опять идет Client Hello, Server Hello, но на данном этапе сервер уже просит сертификат. Вот тут как раз на клиенте выскакивает окошко со списком серфитикатов.

Пишут, что иногда, чтобы обезопасится от Man in the Middle attack, TLS Re-negotiation запрещено на клиенте. Вот как бы посмотреть где это запрещено или разрешено..

[Palych]

А я говорил что certificate based authentication суть зло аццкое.
Каждый раз его бьют вслепую пока не заработает.
Потом молятся чтобы не сломалось.
А уж проверить обеспечивает ли оно безопасность - об этом вообще речи не заходит.

[shadow7256]

А я говорил что certificate based authentication суть зло аццкое.
Каждый раз его бьют вслепую пока не заработает.
Потом молятся чтобы не сломалось.
А уж проверить обеспечивает ли оно безопасность - об этом вообще речи не заходит.

как обычно имплементация работает на наших серверах и не работает в этом дебильном Barclays. Завтра буду ловить пакеты у них на сервере и смотреть что там за ботва у них.

[Flash-04]

Какой то из старых security updates запрещал tls renegotiation:
https://blogs.msmvps.com/alunj/2010/02/ ... oundpatch/

[shadow7256]

Вроде продвинулись.. Пронюхали пакеты и увидели, что на Application layer связь идет через HTTP/2 протокол. А WEB API с клиентским сертификатом не поддерживает HTTP/2 и требует HTTP 1.1. Поэтому видим, что от сервера приходит ответ HTTP_1.1_Required. И на этом все обрывается.

все таки проблема скорее всего из за TLS renegotiation Как то можно посмотреть запрещено ли re-negotiation или нет?

[Palych]

Вроде продвинулись.. Пронюхали пакеты и увидели, что на Application layer связь идет через HTTP/2 протокол. А WEB API с клиентским сертификатом не поддерживает HTTP/2 и требует HTTP 1.1. Поэтому видим, что от сервера приходит ответ HTTP_1.1_Required. И на этом все обрывается.

Тогда откуда 403?

[shadow7256]

Вроде продвинулись.. Пронюхали пакеты и увидели, что на Application layer связь идет через HTTP/2 протокол. А WEB API с клиентским сертификатом не поддерживает HTTP/2 и требует HTTP 1.1. Поэтому видим, что от сервера приходит ответ HTTP_1.1_Required. И на этом все обрывается.

Тогда откуда 403?

Хрен его знает

[Flash-04]

Так наверное клиент не соглашается

[shadow7256]

Еще больше пронюхал.. вижу запрос от сервера, где он просит клиента предоставить клиентский сертификат.

В ответ клиент шлет сразу же ответ и НЕ шлет никакого сертификата.

Untitled.png

Посмотрите пакет 44 (ответ клиента). и ниже Certificate -> 0.

И у клиента в браузере не выскакивает окошко для выбора сертификата.. вот в чем проблема

[mitnlag]

Еще больше пронюхал.. вижу запрос от сервера, где он просит клиента предоставить клиентский сертификат.

HTTP/2 standard has no implementation for client certificate authentication.

[mitnlag]

пишут, что ставили nginx перед iis и тогда работало

[Flash-04]

Ну вот и разобрались что проблема на стороне клиента

[kostik78]

Посмотрите пакет 44 (ответ клиента). и ниже Certificate -> 0.

И у клиента в браузере не выскакивает окошко для выбора сертификата.. вот в чем проблема

Чего то Вы запутали совсем. Насколько я понял у Вас была проблема с С# клиентом а теперь Вы говорите про браузер. В браузере окошко выбора сертификатов может не появляется по причине security settings на самом браузере. В C# скорее всего другая проблема и я давно посоветовал Вам SSL логи включить.