Проясните, кто разбирается в сертификатах и как оно должно работать... Мне как разработчику поступила задача защитить web api сервис передачей клиентских сертификатов на защищенном соединении SSL.
Пишу решение в VS2013 WebAPI 2.2. Использую несколько статей - но смысл в них очень простой. Сделайте вот так и у вас все заработает. Например на сайте MS http://www.asp.net/web-api/overview/security/working-with-ssl-in-web-api

Делаю 1:1 (или точь-в-точь, кому как нравится) - получается, что запрос с сертификатом, который приходит на сервер не содержит приложенного сертификата. Чую тонкости именно в самих сертификатах, то кем они подписаны, и где лежат... Но блин тонкостей этих не знаю.

Расскажу как я сделал. сертификаты создавал с помощью makecert.exe. Создал сертификат (CA), с помощью которого буду подписывать другие сертификаты, положил его в Local Computer \ Trusted Root Certification Authorities.

Этим сертификатом подписал сертификаты сервера и клиента. Серверный (положил в Local Computer \ Personal) прибиндил к SSL на 443 порту IIS-а. На IIS включил SSL Settings \ Client sertificate = accept. В браузере API отзывается и подписывается серверным сертификатом.

Клиентский сертификат у меня лежит в CurentUser \ Personal и посылается серверу через такой код




на сервере это обрабатывается DelegatingHandler-ром, который пытаясь получить сертификат сваливается в этот if, т.е. IsPresent = false. А свойство ClientCertificate не null конечно, но там все пустое...




бьюсь уже 3 дня, сил нет... поможите плиз....