该请求已中止：无法创建SSL / TLS安全通道

WebRequest由于此错误消息，我们无法使用连接到HTTPS服务器：

The request was aborted: Could not create SSL/TLS secure channel.

我们知道服务器在使用的路径中没有有效的HTTPS证书，但是为了避免这个问题，我们使用了从另一StackOverflow帖子中获取的以下代码：

private void Somewhere() {
    ServicePointManager.ServerCertificateValidationCallback += new RemoteCertificateValidationCallback(AlwaysGoodCertificate);
}

private static bool AlwaysGoodCertificate(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors policyErrors) {
   return true;
}

问题是服务器永远不会验证证书，并且会因上述错误而失败。有谁知道我该怎么办？

我应该提到，一个同事和我几周前进行了测试，并且与我上面写的类似，它运行良好。我们发现的唯一“主要区别”是我使用的是Windows 7，而他使用的是Windows XP。这会改变吗？

我终于找到了答案（我没有注明出处，但来自搜索）；

当代码在Windows XP中运行时，在Windows 7中，必须在开头添加以下代码：

// using System.Net;
ServicePointManager.Expect100Continue = true;
ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12;
// Use SecurityProtocolType.Ssl3 if needed for compatibility reasons

现在，它可以完美运行。

附录

如罗宾·法文（Robin French）所述；如果您在配置PayPal时遇到此问题，请注意，从2018年12月3日开始，它们将不支持SSL3。您需要使用TLS。这是关于此的贝宝页面。

.NET 4.5中的解决方案是

ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12;

如果您没有.NET 4.5，请使用

ServicePointManager.SecurityProtocol = (SecurityProtocolType)3072;

确保在创建HttpWebRequest之前进行了ServicePointManager设置，否则将无法使用。

作品：

        ServicePointManager.Expect100Continue = true;
        ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls
               | SecurityProtocolType.Tls11
               | SecurityProtocolType.Tls12
               | SecurityProtocolType.Ssl3;

        HttpWebRequest request = (HttpWebRequest)WebRequest.Create("https://google.com/api/")

失败：

        HttpWebRequest request = (HttpWebRequest)WebRequest.Create("https://google.com/api/")

        ServicePointManager.Expect100Continue = true;
        ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls
               | SecurityProtocolType.Tls11
               | SecurityProtocolType.Tls12
               | SecurityProtocolType.Ssl3;

您遇到的问题是aspNet用户无权访问证书。您必须使用winhttpcertcfg.exe授予访问权限

有关如何进行设置的示例，请访问：http : //support.microsoft.com/kb/901183

在步骤2中的更多信息

编辑：在较新版本的IIS中，此功能内置于证书管理器工具中-可以通过右键单击证书并使用管理私钥的选项来访问此功能。此处有更多详细信息：https : //serverfault.com/questions/131046/how-to-grant-iis-7-5-access-to-a-certificate-in-certificate-store/132791#132791

该错误是通用的，并且SSL / TLS协商可能失败的原因有很多。最常见的是无效或过期的服务器证书，您通过提供自己的服务器证书验证钩来解决此问题，但这不一定是唯一的原因。服务器可能需要相互认证，可能会配置有客户端不支持的一组密码，它的时间漂移​​太大，无法使握手成功，还有许多原因。

最好的解决方案是使用SChannel故障排除工具集。SChannel是负责SSL和TLS的SSPI提供程序，您的客户端将使用它进行握手。查看TLS / SSL工具和设置。

另请参阅如何启用Schannel事件日志记录。

我遇到了这个问题，试图访问https://ct.mob0.com/Styles/Fun.png，这是CloudFlare在CDN上分发的图像，该图像支持诸如SPDY和奇怪的重定向SSL证书之类的疯狂东西。

而不是像Simons Answer中那样指定Ssl3，我可以通过像这样下降到Tls12来修复它：

ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12;
new WebClient().DownloadData("https://ct.mob0.com/Styles/Fun.png");

经过很长时间的研究，我发现客户端服务所运行的ASP.NET帐户无权访问证书。我通过进入运行Web应用程序的IIS应用程序池，进入“高级设置”，然后将标识LocalSystem从更改为帐户来修复此问题NetworkService。

更好的解决方案是使证书与默认NetworkService帐户一起使用，但这可用于快速功能测试。

设定的方法

ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12

似乎还可以，因为Tls1.2是安全协议的最新版本。但是我决定更深入地研究并回答我们是否真的需要对其进行硬编码。

规格：Windows Server 2012R2 x64。

从互联网上得知，.NetFramework 4.6+必须默认使用Tls1.2。但是，当我将项目更新为4.6时，什么也没发生。我发现了一些信息，告诉我需要手动进行一些更改才能默认启用Tls1.2

https://support.microsoft.com/zh-CN/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-default-secure-protocols-in-wi

但是建议的Windows更新不适用于R2版本

但是帮助我的是在注册表中添加了2个值。您可以使用下一个PS脚本，以便将它们自动添加

Set-ItemProperty -Path 'HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NetFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -Type DWord
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NetFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -Type DWord

这就是我一直在寻找的东西。但是我仍然无法回答为什么NetFramework 4.6+不会自动设置此... Protocol值的问题？

原始答案没有的东西。我添加了一些代码以使其更安全。

ServicePointManager.Expect100Continue = true;
        ServicePointManager.DefaultConnectionLimit = 9999;
        ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12 | SecurityProtocolType.Ssl3;

另一种可能是包装盒上的证书输入不正确。确保选中带圆圈的复选框。最初我没有这样做，所以代码要么超时要么抛出与找不到私钥相同的异常。

如果服务器对HTTP请求返回HTTP 401未经授权的响应，则会发生“请求已中止：无法创建SSL / TLS安全通道”异常。

您可以通过打开客户端应用程序的跟踪级System.Net日志记录来确定是否正在发生这种情况，如本答案所述。

设置好日志记录后，运行应用程序并重现错误，然后在日志记录输出中查找如下所示的行：

System.Net Information: 0 : [9840] Connection#62912200 - Received status line: Version=1.1, StatusCode=401, StatusDescription=Unauthorized.

在我的情况下，我无法设置服务器期望的特定cookie，从而导致服务器以401错误响应请求，从而导致“无法创建SSL / TLS安全通道”异常。

The request was aborted: Could not create SSL/TLS secure channel错误的另一个可能原因是客户端PC的已配置cipher_suites值与服务器配置为愿意且能够接受的值之间不匹配。在这种情况下，当您的客户端在其初始SSL握手/协商“客户端问候”消息中发送其能够接受的cipher_suites值列表时，服务器会看到所有提供的值都不可接受，并且可能会返回“警告” ”响应，而不是继续进行SSL握手的“服务器问候”步骤。

要研究这种可能性，可以下载Microsoft Message Analyzer，并使用它在尝试与服务器建立HTTPS连接失败时（在C＃应用中）对SSL协商运行跟踪。

如果您能够从另一个环境（例如，您提到的Windows XP计算机）成功建立HTTPS连接，或者可以通过在不使用操作系统密码套件设置的非Microsoft浏览器中点击HTTPS URL，例如Chrome或Firefox），请在该环境中运行另一个Message Analyzer跟踪，以捕获SSL协商成功后发生的情况。

希望您会看到两条Client Hello消息之间的一些区别，这将使您能够准确查明SSL协商失败导致其失败的原因。然后，您应该能够对Windows进行配置更改，以使其成功。 IISCrypto是用于此目的的出色工具（即使对于客户端PC，尽管具有“ IIS”名称）。

以下两个Windows注册表项控制您的PC将使用的cipher_suites值：

• HKLM \ SOFTWARE \ Policies \ Microsoft \ Cryptography \ Configuration \ SSL \ 00010002
• HKLM \ SYSTEM \ CurrentControlSet \ Control \ Cryptography \ Configuration \ Local \ SSL \ 00010002

这是我如何研究和解决各种Could not create SSL/TLS secure channel问题的完整文章：http : //blog.jonschneider.com/2016/08/fix-ssl-handshaking-error-in-windows.html

在我的情况下，此异常的根源是在代码中的某个时刻调用了以下代码：

ServicePointManager.SecurityProtocol = SecurityProtocolType.Ssl3;

这真的很糟糕。它不仅指示.NET使用不安全的协议，而且还会影响到您的appdomain中随后发出的每个新的WebClient（和类似的）请求。（请注意，传入的Web请求在您的ASP.NET应用程序中不受影响，但是新的WebClient请求（例如与外部Web服务进行通信）则受到影响）。

就我而言，实际上并不需要它，因此我可以删除该语句，然后所有其他Web请求又可以正常工作了。根据我在其他地方的阅读，我学到了一些东西：

• 这是您appdomain中的全局设置，如果您有并发活动，则无法可靠地将其设置为一个值，执行操作，然后再将其重新设置。在该小窗口内可能会发生另一项操作，并且该操作会受到影响。
• 正确的设置是将其保留为默认值。这样，随着时间的推移和升级框架，.NET可以继续使用最安全的默认值。将其设置为TLS12（在撰写本文时是最安全的）现在可以使用，但是在5年后可能会开始引起神秘的问题。
• 如果确实需要设置值，则应考虑在单独的专用应用程序或appdomain中进行设置，并找到一种在其与主池之间进行通信的方法。因为这是一个全局值，所以在繁忙的应用程序池中尝试对其进行管理只会带来麻烦。这个答案：https : //stackoverflow.com/a/26754917/7656 通过自定义代理提供了一种可能的解决方案。（请注意，我还没有亲自实现它。）

我有这个问题，因为我的web.config有：

<httpRuntime targetFramework="4.5.2" />

并不是：

<httpRuntime targetFramework="4.6.1" />

如您所知，可能有很多原因。以为我会补充我遇到的原因...

如果将的值设置WebRequest.Timeout为0，则将引发此异常。以下是我拥有的代码...（除了没有0为超时值进行硬编码之外，我有一个无意设置为的参数0）。

WebRequest webRequest = WebRequest.Create(@"https://myservice/path");
webRequest.ContentType = "text/html";
webRequest.Method = "POST";
string body = "...";
byte[] bytes = Encoding.ASCII.GetBytes(body);
webRequest.ContentLength = bytes.Length;
var os = webRequest.GetRequestStream();
os.Write(bytes, 0, bytes.Length);
os.Close();
webRequest.Timeout = 0; //setting the timeout to 0 causes the request to fail
WebResponse webResponse = webRequest.GetResponse(); //Exception thrown here ...

在得票最多的答案可能会是足以让大多数人。但是，在某些情况下，即使强制执行TLS 1.2，也可能继续出现“无法创建SSL / TLS安全通道”错误。如果是这样，您可能需要查阅此有用的文章有关其他故障排除步骤。总结：与TLS / SSL版本问题无关，客户端和服务器必须在“密码套件”上达成共识。在SSL连接的“握手”阶段，客户端将列出其支持的密码套件，以供服务器根据自己的列表进行检查。但是在某些Windows机器上，某些通用密码套件可能已被禁用（似乎是由于故意限制攻击面的企图），从而降低了客户端和服务器就密码套件达成协议的可能性。如果他们不同意，那么您可能会在事件查看器中看到“致命警报代码40”，并在.NET程序中看到“无法创建SSL / TLS安全通道”。

前面的文章介绍了如何列出计算机可能支持的所有密码套件，以及如何通过Windows注册表启用其他密码套件。为了帮助检查客户端上启用了哪些密码套件，请尝试访问MSIE中的此诊断页。（使用System.Net跟踪可能会提供更多确定的结果。）要检查服务器支持哪些密码套件，请尝试使用此联机工具（假设服务器可以通过Internet访问）。不用说，注册表编辑必须谨慎，尤其是在涉及网络的情况下。（您的计算机是远程托管的VM吗？如果您要中断网络连接，该VM完全可以访问吗？）

以我公司为例，我们通过注册表编辑器启用了多个其他的“ ECDHE_ECDSA”套件，以解决当前的问题并防止将来出现问题。但是，如果您不能（或不会）编辑注册表，那么就会想到许多变通办法（不一定漂亮）。例如：您的.NET程序可以将其SSL流量委派给一个单独的Python程序（由于在受影响的计算机上MSIE请求失败的情况下，Chrome请求可能会成功，因此它本身可能会起作用）。

造成此问题的最大原因之一是活动的.NET Framework版本。.NET Framework运行时版本会影响默认情况下启用的安全协议。

似乎没有关于它在不同版本中的具体工作方式的权威文档，但是似乎默认值或多或少地决定如下：

• .NET Framework 4.5及更早版本-SSL 3.0，TLS 1.0
• .NET Framework 4.6.x-TLS 1.0、1.1、1.2、1.3
• .NET Framework 4.7+-系统（OS）默认值

（对于较旧的版本，根据系统上安装的.NET运行时的不同，里程可能会有所不同。例如，可能会出现以下情况：您使用的是非常旧的框架，并且不支持TLS 1.0或使用4.6。 x和TLS 1.3不支持）

Microsoft的文档强烈建议使用4.7+，并且系统默认值为：

我们建议您：

• 在您的应用程序上定位.NET Framework 4.7或更高版本。WCF应用程序上的目标.NET Framework 4.7.1或更高版本。
• 不要指定TLS版本。配置您的代码，以使操作系统决定TLS版本。
• 执行彻底的代码审核，以验证您未指定TLS或SSL版本。

对于ASP.NET网站，请检查您<httpRuntime>元素中的.NET Framework版本，因为这将确定您的网站实际使用的运行时：

<httpRuntime targetFramework="4.5" />

更好：

<httpRuntime targetFramework="4.7" />

这个在MVC webclient中为我工作

    public string DownloadSite(string RefinedLink)
    {
        try
        {
            Uri address = new Uri(RefinedLink);

            ServicePointManager.ServerCertificateValidationCallback = delegate { return true; };
            ServicePointManager.SecurityProtocol = SecurityProtocolType.Ssl3;

            System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12;

            using (WebClient webClient = new WebClient())
            {
                var stream = webClient.OpenRead(address);
                using (StreamReader sr = new StreamReader(stream))
                {
                    var page = sr.ReadToEnd();

                    return page;
                }
            }

        }
        catch (Exception e)
        {
            log.Error("DownloadSite - error Lin = " + RefinedLink, e);
            return null;
        }
    }

如果客户端是Windows计算机，则可能的原因可能是未激活服务所需的tls或ssl协议。

可以在以下位置设置：

控制面板->网络和Internet-> Internet选项->高级

向下滚动设置至“安全性”，然后选择

• 使用SSL 2.0
• 使用SSL 3.0
• 使用TLS 1.0
• 使用TLS 1.1
• 使用TLS 1.2

就我而言，运行该应用程序的服务帐户无权访问私钥。一旦获得此许可，错误就会消失

1. 多媒体卡
2. 证书
3. 扩展到个人
4. 选择证书
5. 右键点击
6. 所有任务
7. 管理私钥
8. 加

如果要从Visual Studio运行代码，请尝试以管理员身份运行Visual Studio。为我解决了此问题。

我整天都在为这个问题而苦苦挣扎。

当我使用.NET 4.5创建一个新项目时，我终于可以使用它了。

但是，如果我降级到4.0，我会再次遇到相同的问题，并且对于该项目而言，这是不可逆的（即使当我尝试再次升级到4.5时）。

除了“请求已中止：无法创建SSL / TLS安全通道”，没有其他奇怪的错误消息。出现此错误

System.Net.WebException：请求已中止：无法创建SSL / TLS安全通道。

在我们的案例中，我们在使用软件供应商，因此我们无权修改.NET代码。除非有更改，否则.NET 4显然不会使用TLS v 1.2。

我们的解决方法是将SchUseStrongCrypto密钥添加到注册表中。您可以将以下代码复制/粘贴到扩展名为.reg的文本文件中并执行它。它充当了我们解决该问题的“补丁”。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

尝试这个：

ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12;

这对我来说是固定的，将网络服务添加到权限。右键单击证书>所有任务>管理私钥...>添加...>添加“网络服务”。

对我来说，问题是我试图将IIS作为Web服务进行部署，在服务器上安装了证书，但是运行IIS的用户对证书没有正确的权限。

如何授予ASP.NET访问证书存储区中证书的私钥的权限？

我遇到了同样的问题，发现此答案对我来说是正确的。密钥是3072。此链接提供有关“ 3072”修复的详细信息。

ServicePointManager.SecurityProtocol = (SecurityProtocolType)3072;

XmlReader r = XmlReader.Create(url);
SyndicationFeed albums = SyndicationFeed.Load(r);

就我而言，两个提要需要修复：

https://www.fbi.gov/feeds/fbi-in-the-news/atom.xml
https://www.wired.com/feed/category/gear/latest/rss

这个问题有很多答案，因为它与一般错误消息有关。我们在某些服务器上遇到了此问题，但在我们的开发机器上却没有遇到。拔掉大部分头发后，我们发现这是一个Microsoft错误。

https://support.microsoft.com/zh-CN/help/4458166/applications-that-rely-on-tls-1-2-strong-encryption-experience-connect

本质上，MS假定您希望使用较弱的加密，但是操作系统已打补丁以仅允许TLS 1.2，因此您收到可怕的“请求已中止：无法创建SSL / TLS安全通道”。

有三个修复程序。

1）使用正确的更新修补操作系统：http : //www.catalog.update.microsoft.com/Search.aspx?q=kb4458166

2）将设置添加到您的app.config / web.config文件。

3）添加另一个答案中已经提到的注册表设置。

我发布的知识库文章中提到了所有这些内容。

另一种可能是正在执行的代码没有所需的权限。

就我而言，使用Visual Studio调试器测试对Web服务的调用时出现此错误。Visual Studio没有以管理员身份运行，这导致了此异常。

对于我来说，这只是在一个站点上发生的，事实证明它只有RC4密码可用。为了加强服务器的安全性，在重新启用此功能后，我已禁用RC4密码。