SSL编程(3).NET实现SSL服务端

准备开发用数字证书

通常学习和开发调试场合，不会随便使用正式的SSL服务器证书的私钥。因为服务器验证对于SSL来讲是必须的，SSL服务器端必须有拥有一个服务器 证书，即可以访问到证书的私钥。对于要求客户端验证的SSL，对客户端有着一样的要求，客户端须要拥有与本身声称的身份对应的数字证书。

Windows SDK中有一个制做测试开发用的临时数字证书的命令行工具：makecert.exe。这一工具也被包含在Visual Studio中。打开SDK或者Visual Studio的命令行提示窗口，输入以下的命令：

makecert –ss “MY”

会在当前用户的我的证书存储中建立一个新的数字证书，证书用途有“全部”（All），这种证书既可以用于服务器验证，又可以用于用户验证。下图中名 为Joe’s-Software-Emporium的证书就是makecert命令所生成的，咱们随后把它用于服务端的身份验证。咱们再建立一个名为 Test2的证书，这个证书将会在后面用于客户端验证。生成名称为Test2的证书命令以下：

Makecert -n “CN=Test2” -ss “MY”

到这里，SSL服务器端和客户端两边的证书就都准备好了。须要注意的是，这两个证书目前都没有获得系统的信任，下面的编程调试过程当中，咱们将会讨论对证书信任的处理。

SSL服务端实现

Ssl服务端示例1的功能是在端口443等待客户端的SSL握手请求，SSL握手成功后，接收客户端的数据，而后给客户端发送一段应答数据。

首先是实现TCP服务端，使用一个TcpListener对象启动侦听，等待链接，接受链接得到一个与客户端对等的TcpClient对象。这个比TCP客户端稍微要复杂一点儿。这里不详述，不清楚的读者能够阅读Tcp服务端编程相关的参考资料。代码片断以下：

TcpListener listener = new TcpListener(IPAddress.Any, 443);

listener.Start();

while (true)

            {

Console.WriteLine("Waiting for a client to connect...");

// 应用程序会阻塞在这里，直到有一个客户端发起链接.

TcpClient client = listener.AcceptTcpClient();

           ProcessClient(client);

            }

代码运行到ProcessClient时，服务端已经有了由一个TcpClient对象表明的Tcp链接。到这里，在网络通讯层面上，服务端与客户 端成为对等的。咱们使用从服务器端的TcpClient对象的IO流构造一个SslStream对象，处理SSL协议。服务端与客户端的差别在于服务器端 要调用AuthenticateAsServer函数，把本身设定为SSL服务端模式，并进入等待对端做为客户端发起SSL握手。 AuthenticateAsServer函数必须有一个服务器证书做为输入，加载名为Joe's-Software-Emporium的服务器证书代码 片断以下：

X509Store store = new X509Store("MY", StoreLocation.CurrentUser );
store.Open(OpenFlags.ReadOnly);    
X509Certificate2Collection storecollection = (X509Certificate2Collection)store.Certificates.Find(X509FindType.FindBySubjectName, @"Joe's-Software-Emporium",false);    
serverCertificate = storecollection[0];

把得到的serverCertificate对象做为服务器证书输入，启动SSL服务端：

SslStream sslStream = new SslStream(

           client.GetStream(), false,

new RemoteCertificateValidationCallback(ValidateClientCertificate));

// Authenticate the server but don't require the client to authenticate.

try

            {

                 sslStream.AuthenticateAsServer(serverCertificate,

                                                                 false, // 这个参数决定是否须要客户端出示数字证书对客户端身份进行验证.

                                                                 SslProtocols.Tls, false);

             // Display the properties and settings for the authenticated stream.

创建链接后，服务器调用SslStream的Read, Write函数，进行数据的安全收发处理。

SSL链接测试

咱们仍然使用前面的简单SSL客户端示例1，修改目标地址和端口链接SSL服务端示例1。客户端当即报告服务端出示的证书无效，结束了SSL握手。

代码执行状况以下：

程序输出是：

若是咱们强行让客户端负责证书检验的函数ValidateServerCertificate返回true的话，SSL握手可以完成，后面的加密数据收发也能进行。可是这样作意味着客户端会接受任何服务器证书，这样的ssl客户端程序对ssl中间人***处于不设防状态。 咱们不打算在这里提供这种糟糕的示例，性急的读者能够本身改，把上图中断点处代码直接改为return true，就完事了。须要切记，那样的ValidateServerCertificate代码只能用于SSL编程学习玩玩，决不能用于任何正式产品之 中！或者，开发者强行让计算机信任签发测试证书的CA，也能让客户端示例1完成SSL握手；可是这样意味着系统信任了一个测试用CA，这会危及整个计算机 的公钥信任，咱们在这里也不这么作。

尽管最简单的SSL客户端示例1没法链接这个服务端，可是对于不要求客户端验证的SSL服务端，这个服务端代码已经完整了。若是服务器端加载的是一个由Verisign这样的公众信任的CA签发的有效服务器证书，客户端示例1将可以正常链接并完成数据的加密收发。

因为多数读者不会有这样一个服务器证书，客户端示例1这样的，只信任系统信任的证书的安全SSL客户端，会拒绝与使用测试用证书的SSL服务端创建SSL链接。