Validierung des Clientzertifikatsablaufs mit HTTP.sys SSL-Bindung

Question

Ich habe eine benutzerdefinierte SSL-Bindung über netsh http add sslcert eingerichtet. Für diese Bindung ist der Parameter clientcertnegotiation aktiviert, wodurch das HTTP.sys-Subsystem während der SSL-Handshake-Phase eine Clientzertifikatanforderung ausgibt.

Alles gut, bis hier ist das Client-Zertifikat angefordert und es wird auch vom Client gesendet. Das Problem ist, dass dieses bestimmte Zertifikat sein Ablaufdatum überschritten hat.

Der gesunde Menschenverstand schreibt vor, dass die Ablaufvalidierung auf dieser Ebene erfolgen soll. Gibt es eine bestimmte Option/Einstellung, die dies ermöglichen kann?

Andernfalls sollte es wahrscheinlich in der WCF-Anwendung behandelt werden, die hinter dieser Bindung steht - was eine ganz andere Frage ist.

Answer 1

Beendet die Validierung in meinem Code mit einem custom X509 certificate validator.

Holen Sie sich einfach das Zertifikat und überprüfen Sie die Daten.

Answer 2

Ich kenne keinen Parameter, den Sie verwenden können, aber ich hatte ein ähnliches Problem, wo der Server, den ich verwendete, die Gültigkeit des Zertifikats nicht überprüft hat. Stattdessen habe ich es in der Infrastruktur meiner Anwendung implementiert: Schleife über die Zertifikatskette erhalten vom Client und überprüfen Sie, ob alle Zertifikate gültig sind: Überprüfen Sie beide notBefore & notAfter Parameter.