.NET下寄宿于控制台的HTTPS监听

附上原文链接：https://blogs.msdn.microsoft.com/jpsanders/2009/09/29/how-to-walkthrough-using-httplistener-or-http-server-unmanaged-code-c-as-an-ssl-simple-server/

写这边完全是怕原链接挂了，时间长了命令难以记住。

服务器监听代码

服务器代码只需将监听地址前缀改为https，其他都一样。

HttpListener  httpListen = new HttpListener();
httpListen .Prefixes.Add("https://192.168.3.22:10022/xxx/");
httpListen .Start();

服务器生成自签名证书

这是MakeCert.exe的文档：http：//msdn.microsoft.com/en-us/library/bfsktky3.aspx。可以使用此程序为应用程序生成自签名服务器证书。

使用Visual Studio 2008-2010，您只需使用程序菜单中的Visual Studio 2008或2010命令提示符即可访问MakeCert.exe。  （注意：对于Vista及更高版本，请确保您作为管理命令提示符运行，以便您具有适当的权限）

//MakeCert命令：
makecert.exe -sr LocalMachine -ss MY -a sha1 -n“CN = jsan17708317”-sky exchange -pe -eku 1.3.6.1.5.5.7.3.

该命令应该返回'Succeeded'。

现在，您需要确保Root Authority是可信的。要从上面使用的相同命令提示符执行此操作，请键入MMC。然后选择“文件”，“添加/删除管理单元...”

然后点击“添加”按钮，选择“证书”。点击“添加”按钮......

选择“计算机帐户”，然后单击“下一步>”，“完成”，“关闭”和“确定”。

您应该能够扩展左侧的树以显示个人证书并找到您刚添加的那个（我的唯一一个显示）...

双击您的证书，您将看到类似于此的内容：

您需要解决Red X问题（无法验证证书到受信任的根目录）。

单击此对话框中的“证书路径”选项卡，然后单击“查看证书”上的问题证书（根代理）。

您将看到问题是此证书不在“受信任的根”存储中。

要进入商店，请单击“详细信息”选项卡，然后单击“复制到文件...”按钮

点击“下一步>”两次，然后点击“浏览”按钮，将文件保存到本地文档目录（将其命名为“RootCert”），然后完成向导，直到您成功导出证书。现在我们将证书导入受信任的根存储区。

展开“受信任的根证书颁发机构”树，然后右键单击“证书”

从上下文菜单中选择“所有任务...”，然后选择“导入...”并导航到保存“RootCert”的位置，并通过完成向导导入证书。

现在，您应该可以返回到个人存储中的服务器证书，并查看证书没有问题（将此对话框保留为下一步）：

这里的最后一步是获取指纹哈希以供下一节使用。

单击“详细信息”选项卡，然后向下滚动到对话框中的“指纹”字段，然后单击它。然后用鼠标扫除下面的数字（不要错过任何）并使用Ctrl + C组合键复制这些数字。

打开记事本并将这些数字粘贴到其中，以便在下一步中使用。

配置机器以使用证书

最后，您需要配置计算机以将刚刚创建的证书与HttpListener正在侦听https请求的端口和IP地址相关联。

更新：对于Vista及更高版本，您将使用此处列出的netsh http命令而不是httpcfg.exe：http：//msdn.microsoft.com/en-us/library/cc307236（ VS.85）.aspx

您需要从命令行运行httpcfg并提供您在上一节中获得的哈希，但您需要删除这些数字之间的空格。在我的例子中，我删除了空格，哈希是：f4bb35424190e006e5476e97430c5b8136ee5da5

这是我运行的httpcfg命令，用于关联与我的机器和端口8081（/ i 0.0.0.0:8081）关联的所有IP地址的证书：

//httpcfg命令：
httpcfg set ssl / i 0.0.0.0:/h f4bb35424190e006e5476e97430c5b8136ee5da5

对于Vista及更高版本，您需要先生成一个guid。从上面用过的VS提示符生成可以输入的证书：guidgen.exe。然后点击复制按钮复制新创建的GUID。将其与您的哈希一起粘贴到记事本中。您将需要文本的第一部分（例如：{FCB0C645-E745-490F-9E7D-2171E03DC9B0}）进行下一步。

//netsh命令
netsh http add sslcert ipport = 0.0.0.0: certhash = f4bb35424190e006e5476e97430c5b8136ee5da5 appid = {FCB0C645-E745-490F-9E7D-2171E03DC9B0}

运行时，您将看到结果：HttpSetServiceConfiguration以0结束。

现在仔细检查此计算机的SSL绑定：

C：\ Program Files \支持工具> httpcfg查询ssl 
    IP：
    0.0.0.0:8081哈希：f4bb35424190e0 6e5476e9743 c5b8136ee5da5指导
    ：{00000000-0000-0000-0000-000000000000} 
    CertStoreName：（null）
    CertCheckMode：0 
    RevocationFreshnessTime：0 
    UrlRetrievalTimeout： 0 
    SslCtlIdentifier：（null）
    SslCtlStoreName：（null）
    标志：0 
------------------------------------ ------------------------------------------

对于Vista及以上命令是：netsh http show sslcert

故障排除

如果应用程序不起作用，首先验证您是否正确执行了上述每一步（没有遗漏某些内容或某些步骤）。

验证您的证书是否显示IP和Hash字段与您正在侦听的内容相对应，并且Hash是您先前为证书获取的哈希。

检查httpcfg查询ssl并查看是否有其他侦听器可能与同一端口冲突。使用命令http delete ssl / i xxxx：8081删除冲突（将xxxx替换为您在同一端口上侦听的任何IP地址）。

对于Vista及更高版本，请确保您使用管理权限运行HttpListener代码，否则您将无法注册您的计算机名称（您将获得访问被拒绝或来自非托管代码的错误代码5）。

补充信息

这是一个简单的例子。您可能不希望在处理一个请求后停止侦听。您需要提供一种方法来优雅地关闭侦听器并处理工作线程上的请求。

您可以在HttpCfg中指定特定的IP范围（在MSDN中搜索HttpCfg语法）。在我的示例中，您可以使用此绑定到IP地址10.10.3.4：httpcfg 
set ssl / i 10.10.3.4:8081 / h f4bb35424190e006e5476e97430c5b8136ee5da5

您无法在同一端口上侦听http和https流量。

客户端代码

    public bool CheckValidationResult(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors errors)
    {
    　　return true;
    }

　　if (serverUrl.StartsWith("https", StringComparison.OrdinalIgnoreCase))
　　{
　　　　ServicePointManager.ServerCertificateValidationCallback = new RemoteCertificateValidationCallback(CheckValidationResult);
　　}

　　X509Certificate2 cert = new X509Certificate2(@"C:\Users\Administrator\Documents\RootCert.cer");
　　objRequest.ClientCertificates.Add(cert);