客户端认证通过X509证书在asp.net

要在ASP.NET应用程序中使用客户端证书，您需要执行以下操作：

步骤1：在IIS管理器中，打开您的应用程序或网站，选择SSL设置并选择要求SSL和要求客户端证书。

现在当用户打开您的网站时，浏览器将提示他选择将在通信中使用的客户端证书。

重要此处，您必须确保证书是由您信任的人颁发的(因为任何人都可以创建自己的自签名证书)。

步骤2：添加配置项(web.config，数据库等)。在此列表中，您将为客户端证书添加整个CA(证书颁发机构)链的指纹。

<add key="ClientCertificateIssuerThumbprints" value="4901f5b87d736cd88792bd5ef7caee91bf7d1a2b,0113e31aa85d7fb02740a1257f8bfa534fb8549e,c9321de6b5a82666cf6971a18a56f2d3a8675602"/>

步骤3：创建一个经典的用户名/密码登录页面。验证用户名/密码。

步骤4：将以下代码添加到您的登录页面：

var x509 = new X509Certificate2(this.Request.ClientCertificate.Certificate);
var chain = new X509Chain(true);
chain.ChainPolicy.RevocationMode = X509RevocationMode.Offline;
chain.Build(x509);

var validThumbprints = new HashSet<string>(
    System.Configuration.ConfigurationManager.AppSettings["ClientCertificateIssuerThumbprints"]
        .Replace(" ","").Split(',',';'),StringComparer.OrdinalIgnoreCase);

// if the certificate is self-signed,verify itself.
for (int i = chain.ChainElements.Count > 1 ? 1 : 0; i < chain.ChainElements.Count; i++)
{
    if (!validThumbprints.Contains(chain.ChainElements[i].Certificate.Thumbprint))
        throw new UnauthorizedAccessException("The client certificate selected is not authorized for this system. Please restart the browser and pick the certificate issued by XXXXX");
}

// certificate Subject would contain some identifier of the user (an ID number,SIN number or anything else unique). here it is assumed that it contains the login name and nothing else
if (!string.Equals("CN=" + login,x509.Subject,StringComparison.OrdinalIgnoreCase))
    throw new UnauthorizedAccessException("The client certificate selected is authorized for another user. Please restart the browser and pick another certificate.");

只有当密码和证书都已经被检查时，才允许用户在系统中被允许。