Включение https с NancyFx Owin Self-host

Я самостоятельно размещаю службу NancyFx с Owin (в интрасети с компьютера с Windows 8), и она работает нормально. Пытаюсь перейти на HTTPS, но столкнулись с проблемами.

У меня есть:

  • Создан самоподписанный корневой ЦС
  • Создан обменный сертификат с использованием вышеуказанного ЦС (CN = mycomputer)
  • Экспортированный открытый ключ CA и установленный на клиентской машине
  • Используется netsh для добавления urlacl к https://+:5001.
  • Используется netsh для добавления sslcert с большим пальцем и т. д.

Хост-служба вроде бы запускается на моем адресе, https://mycomputer:5001, но когда я пытаюсь получить доступ к этому адрес Сначала я получаю предупреждение о небезопасном соединении (которого я не должен был бы делать, если я установил CA-cert с открытым ключом, верно?), и, продолжая в любом случае, я получаю ответ «служба недоступна».

Любые намеки на то, что может быть не так?

Нужно ли мне как-то настраивать Нэнси/Овин для использования сертификата или достаточно, чтобы он был подключен к конечной точке с помощью netsh?


ssl https owin nancy
person Andreas Zita    schedule 26.02.2015    source источник
comment
Вы когда-нибудь догадывались об этом? Я исследую ту же проблему и никуда не денусь.   -  person Geo242    schedule 24.04.2015

Ответы (1)


arrow_upward
5
arrow_downward

У меня это работает. Я нашел полезным иметь ряд проверок в процессе.

CHECK1 - Импорт сертификата в порядке: - После того, как вы установите сертификат на машине, запустите certutil -store MY - Вы должны увидеть там детали сертификата (sha/user created/name etc) - Если нет STOP. Вы, вероятно, импортировали в хранилище пользователей (или сертификат недействителен). Вы ДОЛЖНЫ начать с пустого mmc и импортировать сертификаты для МАШИНЫ.

CHECK2 - URL добавлен в список urlacl в netsh - После добавления uri в acl run netsh http show urlacl - Если вашего uri/порта нет в списке STOP. URL-адрес добавлен неправильно.

CHECK3 — ssl привязан к urlacl — После запуска команды add sslcert запустите netsh http show sslcert — Если вашей комбинации порт/sha нет в списке, проверьте, что в sha нет пробелов / appid уникален / идентификатор приложения + фигурные скобки в кавычках (при выполнении из PS )

Надеюсь, поможет. Я создал это после 6 часов тряски головой. Теперь это работает!

person penderi    schedule 20.05.2015
comment
Спасибо за это; часть, которая помогла мне, была примечанием в проверке 1 об импорте сертификатов для машины. - person Paul d'Aoust; 27.05.2015
comment
Я потерял счет количеству страниц, посвященных Нэнси и SSL. Я надеялся собрать все уроки в один контрольный список. Это работает очень хорошо для меня до сих пор. Надеюсь, это поможет многим другим!!!!! - person penderi; 27.05.2015