Введение

Данная статья будет являться моим опытом, как использовать сертификат и успешно его отправить вместе с запросом. По тому, как BouncyCastle достаточно старая библиотека и на нее мало свежих туториалов и появилась идея написать эту статью.

Данная работа написана исключительно в рамках моих рабочих будней и не является профессиональным гайдом.

Как я к этому пришел

Мой проект занимается медициной и отправкой документов на подпись онлайн (для выдачи рецептов). Недавно наш старый сертификат почти закончил свой срок жизни и нам прислали новый. Однако при замене сертификата и приватного ключа оказалось, что на Azure энвах мы ловим тайм ауты, в то время как с локал хоста все запросы отправляются и приходят 200 в ответе.

Начало ресерча

Первое что приходит в голову — может неправильные конфиги на Azure? Как оказалось нет, так как если отправить с контейнера курл запрос — всегда приходило 200 и никаких проблем не наблюдалось (причем быстро очень). Тогда закрались опасения насчет того, насколько быстро работает наш HttpClient. Ниже приведет код регистрации его в сервис провайдере:

builder.Services.AddHttpClient<SigningClient>((serviceProvider, client) =>
  {
      var options = serviceProvider.GetService<IOptions<SigningSettings>>()?.Value;
      if (options?.Url != null)
      {
          client.BaseAddress = new Uri(options.Url);
          client.Timeout = TimeSpan.FromSeconds(options.ConnectionTimeout);
      }
  
      client.DefaultRequestHeaders.Accept.Add(new MediaTypeWithQualityHeaderValue(
        MediaTypeNames.Application.Json));
  })
  .ConfigurePrimaryHttpMessageHandler(serviceProvider =>
  {
      var options = serviceProvider.GetService<IOptions<SigningSettings>>()?.Value;
  
      var httpClientHandler = new HttpClientHandler
      {
          ClientCertificates =
          {
              GetClientCertificate(options)
          }
      };
  
      return httpClientHandler;
  });

В целом не увидев никаких проблем в регистрации — я написал свой MyHttpClientHandler и добавил парочку логов, чтобы потенциально увидеть проблему

public class MyHttpClientHandler : HttpClientHandler
{
    public MyHttpClientHandler()
    {
        ServerCertificateCustomValidationCallback = ServerCertificateCustomValidation;
    }

    protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, 
CancellationToken cancellationToken)
    {
        Log.Information("-- Information about call -- " +
                               "\nClientCertificateOptions: " +
                               "{ClientCertificateOptions},\n" +
                               "ClientCertificates:\n{ClientCertificates}",
                               ClientCertificateOptions.ToString(),
                               ClientCertificates[0].ToString());

        var response = base.SendAsync(request, cancellationToken);

        var content = response.GetAwaiter().GetResult()
          .Content.ReadAsStringAsync(cancellationToken).GetAwaiter().GetResult();

        Log.Information("Response: {Content}\nStatusCode: {StatusCode}", 
          content, response.Result.StatusCode);

        return response;
    }

    private static bool ServerCertificateCustomValidation(HttpRequestMessage 
      requestMessage, X509Certificate2 certificate, X509Chain chain,
      SslPolicyErrors sslErrors)
    {
        // Based on the custom logic it is possible to 
        // decide whether the client considers certificate valid or not
        Log.Information($"Errors: {sslErrors}");
        return sslErrors == SslPolicyErrors.None;
    }
}

В целом, после деплоя как вы думаете что я увидел? Абсолютно ничего. Метод .SendAsync стал ботлнек без всяких объяснений! Использовав старый сертификат было обнаружено, что все работаем в штатном режиме и очень быстро.

Продолжение ресерча

Просмотрев что я имею на данный момент, я решил посмотреть как мы работаем с сертификатом. На входе у нас есть ClientCert (сертификат) и ClientCertKey (приватный ключ). Ниже код, который обрабатываем данные значения.

var provider = new RSACryptoServiceProvider(2048);
provider.ImportFromPem(Encoding.UTF8.GetString(
  Convert.FromBase64String(_settings.ClientCertKey)));

var certificate = new X509Certificate2(
  Convert.FromBase64String(_settings.ClientCert));
var certificateWithPrivateKey = certificate.CopyWithPrivateKey(provider);

var cert = new X509Certificate2(
  certificateWithPrivateKey.Export(X509ContentType.Pfx));

В целом никакой проблеме в коде я не увидел. Возможно, знатоки криптографии и смогут упростить этот код, но на тот момент мне ничего явного и РАБОЧЕГО в голову не пришло (так как пару раз я попробовал переписать этот код и ничего не вышло)

После этого я решил написать тест, который выполняет данный код и потом шлет его на наш сервис. В целом, код выглядел вот так:

[Fact]
public async Task OldApproach()
{
    var provider = new RSACryptoServiceProvider(2048);
    provider.ImportFromPem(Encoding.UTF8.GetString(
      Convert.FromBase64String(_settings.ClientCertKey)));

    var certificate = new X509Certificate2(
      Convert.FromBase64String(_settings.ClientCert));
    var certificateWithPrivateKey = certificate.CopyWithPrivateKey(provider);

    var cert = new X509Certificate2(
      certificateWithPrivateKey.Export(X509ContentType.Pfx));

    var result = await GetResponse(cert);

    result.StatusCode.Should().Be(HttpStatusCode.OK);
}

Много останавливаться на методе GetResponse(X509Certificate2 cert) останавливаться не будем, просто скажу что он имеет такой вид:

    private async Task<HttpResponseMessage> GetResponse(X509Certificate2 cert)
    {
        _handler.ClientCertificates.Add(cert);
        _client = new HttpClient(_handler);
        return await _client.SendAsync(GetRequest());
    }

Как вы думаете, какой результат показал мне код? Среднее время выполнения было от 10.9 до 12.4 секунд (где-то 10-15 колов было сделано). Это показалось мне долгим и я попробовал старый сертификат - среднее время выполнения от 1.8 до 2.5 секунд.

Откуда такая разница во времени?

Я не знаю. Может у кого есть свои догадки? Буду раз обсудить!

Ну пора решать проблему, а то бизнес ждет!

Вообщем, первое что приходит в голову когда что‑то долго работает — использовать другой нугет. В этот раз так и вышло, мой взгляд сразу упал на BouncyCastle, как на главный исходник всех остальных либ.

Первая проблема с которой я столкнулся — очень мало актуальной информации. Я прям часами сидел, чтобы найти какую‑то полезную инфу, но мой максимум — какие‑то вопросы 3–4 летней давности.

Методом тыка и сбора из каждого вопроса по строчке у меня получился следующий код:

byte[] certData = Convert.FromBase64String(options.ClientCert);
string encodedPrivateKey = Encoding.UTF8.GetString
  Convert.FromBase64String(options.ClientCertKey));

var certParser = new X509CertificateParser();
var certStructure = certParser.ReadCertificate(certData);

var certGenerator = new X509V3CertificateGenerator();

// Set the certificate's serial number, issuer, and subject
certGenerator.SetSerialNumber(certStructure.SerialNumber);
certGenerator.SetIssuerDN(certStructure.IssuerDN);
certGenerator.SetSubjectDN(certStructure.SubjectDN);

// Set the certificate's validity period
certGenerator.SetNotBefore(certStructure.NotBefore);
certGenerator.SetNotAfter(certStructure.NotAfter);

// Set Public Key
var publicKey = certStructure.GetPublicKey();
certGenerator.SetPublicKey(publicKey);

// Private key reading
AsymmetricKeyParameter privateKey;
using (var stringReader = new StringReader(encodedPrivateKey))
{
    var pemReader = new PemReader(stringReader);
    var pemObject = pemReader.ReadObject();
    privateKey = ((AsymmetricCipherKeyPair)pemObject).Private;
}

// Generate the certificate
ISignatureFactory signatureFactory = new Asn1SignatureFactory(
  "SHA256WITHRSA", privateKey, new SecureRandom());
Org.BouncyCastle.X509.X509Certificate certificate = certGenerator
  .Generate(signatureFactory);

// Convert the BouncyCastle X509Certificate to .NET X509Certificate2
var dotNetCertificate = new X509Certificate2(certificate.GetEncoded());

В целом что делает этот код в каждый момент времени и так расписано, но если кратко

• Декодим и читаем наш сертификат

• Копируем из него все полезные данные

• Читаем приватный ключ (эту часть я вообще еле откопал)

• Создаем сертификат

• Переводим его в X509Certificate2

В целом, под данный код был также написан тест точно такого же плана, как и под старый код:

[Fact]
public async Task NewApproach()
{
    // Код с геренарацией опущен, он написан выше

    // Convert the BouncyCastle X509Certificate to .NET X509Certificate2
    var dotNetCertificate = new X509Certificate2(certificate.GetEncoded());

    var result = await GetResponse(dotNetCertificate);

    result.StatusCode.Should().Be(HttpStatusCode.OK);
}

Как вы думаете, какие результаты показал данный код?

Результаты

Результаты показались мне очень удивительными, особенно как человеку который на словах только знает что такое криптография и сертификаты. Но при этом это интересный кейс и возможно кому‑то он тоже поможет, когда новый сертификат станет настолько «тяжелым».

Буду рад любым фидбекам, так как в этой теме я новичок и это был мой первый опыт с проблемами сертификатов

В любом случае всем спасибо кто дочитал до конца!