Как определить имя сервера для аутентификации сервера клиентом в c#

ответ можно найти в SslStream.AuthenticateAsClient Метод Примечания:

значение, указанное для targetHost, должно совпадать с именем сертификата сервера.

Если для сервера используется сертификат, субъектом которого является "CN=localhost", необходимо вызвать AuthenticateAsClient с параметром "localhost" в качестве параметра targetHost для успешной аутентификации на стороне клиента. Если вы используете "CN=David-PC" в качестве сертификата тема, которую вы должны назвать AuthenticateAsClient с "David-PC" в качестве targetHost. SslStream проверяет идентификатор сервера, сопоставляя имя сервера, который вы собираетесь подключить (и который вы передаете AuthenticateAsClient) с субъектом в сертификате, полученном от сервера. Практика заключается в том, что имя машины, которая запускает сервер, совпадает с именем субъекта сертификата, и в клиенте вы передаете то же имя хоста AuthenticateAsClient, которое вы использовали для открытия соединение (с TcpClient в этом случае).

однако существуют другие условия для успешного установления SSL-соединения между серверами и клиентами: сертификат, переданный AuthenticateAsServer, должен иметь закрытый ключ, он должен быть доверенным на клиентском компьютере и не должен иметь никаких ограничений использования ключей, связанных с использованием для установления сеансов SSL.

теперь, связанный с вашим образцом кода, ваша проблема связана с генерацией и использованием сертификата.

• вы не предоставляете эмитента для своего сертификата, и таким образом ему нельзя доверять - это является причиной исключения RemoteCertificateChainErrors. Я предлагаю создать самозаверяющий сертификат для целей разработки, указав опцию-r makecert.

• для доверия сертификат должен быть либо самозаверяющим и помещен в надежное место в хранилище сертификатов Windows, либо должен быть связан цепочкой подписи уже доверенного центра сертификации. Поэтому вместо опции-ss My, которая разместит сертификат в личном хранилище, используйте-SS root, который разместит его в доверенных корневых центрах сертификации, и он будет доверен на вашей машине (из кода я предполагаю, что ваш клиент работает на той же машине с сервером, а также сертификат генерируется на нем).

• Если вы укажете выходной файл для makecert, он экспортирует сертификат .cer но этот формат содержит только открытый ключ, а не закрытый ключ, который необходим серверу для установления SSL-соединения. Самый простой способ-прочитать сертификат из хранилища сертификатов Windows в коде сервера. (Вы также можете экспортировать его из магазина в другом формате, который позволяет хранить закрытый ключ, как описано здесь экспорт сертификата с закрытым ключом и прочитайте этот файл в коде сервера).

вы можете найти подробную информацию о параметрах makecert, используемых здесь Инструмент Создания Сертификата (Makecert.exe)

В заключение ваш код нуждается в следующих изменениях для запуска (протестирован с последними обновлениями кода):

• используйте следующую команду для создания сертификата:

makecert-sr LocalMachine-SS root-r-n "CN=localhost" - sky exchange - sk 123456

• читать сертификат Хранилище сертификатов Windows вместо файла (для простоты этого примера), поэтому замените

serverCertificate = X509Certificate.CreateFromCertFile(сертификат);

в коде сервера с:

X509Store store = new X509Store(StoreName.Root, StoreLocation.LocalMachine);
store.Open(OpenFlags.ReadOnly);
var certificates = store.Certificates.Find(X509FindType.FindBySubjectDistinguishedName, "CN=localhost", false);
store.Close();

if (certificates.Count == 0)
{
    Console.WriteLine("Server certificate not found...");
    return;
}
else
{
    serverCertificate = certificates[0];
}

Не забудьте заменить "CN=localhost" на тему сертификата, который вы собираетесь использовать, если вы измените код позже (в этом случае должно быть то же значение, что и параметр-n, переданный makecert). Также использовать имя компьютера, на котором запускается сервер вместо localhost в теме сертификата сервера.