我有一个简单的Web服务调用,它是由.NET(C#)2.0 Windows应用程序通过Visual Studio生成的Web服务代理生成的,用于同样用C#(2.0)编写的Web服务。这已经工作了几年,并且在它运行的十几个地方继续这样做。
在新站点上进行的新安装遇到了问题。尝试调用Web服务时,它失败并显示以下消息:
无法为SSL / TLS安全通道建立信任关系
Web服务的URL使用SSL(https://)-但这已经在许多其他地方使用了很长时间了(并将继续这样做)。
我在哪里看?这可能是Windows和.NET之间此安装特有的安全问题吗?如果是这样,我应该在哪里建立信任关系?我迷路了!
Answers:
想法(基于过去的痛苦):
以下代码片段将解决您正在呼叫的服务器上的SSL证书出现问题的情况。例如,它可能是自签名的,或者证书和服务器之间的主机名可能不匹配。
如果您在直接控制范围之外调用服务器,这将很危险,因为您无法再确定与您认为已连接的服务器在通话。但是,如果您正在使用内部服务器并且获得“正确的”证书不切实际,请使用以下命令告诉Web服务忽略证书问题,并勇敢地继续前进。
前两个使用lambda表达式,第三个使用常规代码。第一个接受任何证书。最后两个至少检查证书中的主机名是否是您期望的主机名。
...希望对您有所帮助
//Trust all certificates
System.Net.ServicePointManager.ServerCertificateValidationCallback =
((sender, certificate, chain, sslPolicyErrors) => true);
// trust sender
System.Net.ServicePointManager.ServerCertificateValidationCallback
= ((sender, cert, chain, errors) => cert.Subject.Contains("YourServerName"));
// validate cert by calling a function
ServicePointManager.ServerCertificateValidationCallback += new RemoteCertificateValidationCallback(ValidateRemoteCertificate);
// callback used to validate the certificate in an SSL conversation
private static bool ValidateRemoteCertificate(object sender, X509Certificate cert, X509Chain chain, SslPolicyErrors policyErrors)
{
bool result = cert.Subject.Contains("YourServerName");
return result;
}ServicePointManager.ServerCertificateValidationCallback = null;应该恢复为默认行为。
非常简单的“全部捕获”解决方案是这样的:
System.Net.ServicePointManager.ServerCertificateValidationCallback = delegate { return true; };sebastian-castaldi的解决方案更为详细。
#If CONFIG = "Debug"语句中,以便仅在调试模式下才将其激活。效果很好!
我个人最喜欢以下解决方案:
using System.Security.Cryptography.X509Certificates;
using System.Net.Security;...然后在您请求获取错误之前,请执行以下操作
System.Net.ServicePointManager.ServerCertificateValidationCallback = delegate(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors) { return true; };在咨询卢克的解决方案后发现了这一点
如果您使用的是Windows 2003,则可以尝试以下操作:
打开Microsoft管理控制台(开始->运行-> mmc.exe);
选择文件->添加/删除管理单元;
在独立选项卡中,选择添加;
选择证书管理单元,然后单击添加;
在向导中,选择“计算机帐户”,然后选择“本地计算机”。按完成结束向导。
关闭“添加/删除管理单元”对话框;
导航到证书(本地计算机),然后选择要导入的商店:
如果您拥有颁发证书的公司的根CA证书,请选择“受信任的根证书颁发机构”;
如果您拥有服务器本身的证书,请选择“其他人”
右键单击商店,然后选择“所有任务->导入”
按照向导并提供您拥有的证书文件;
之后,只需重新启动IIS,然后尝试再次调用Web服务即可。
参考:http : //www.outsystems.com/NetworkForums/ViewTopic.aspx ? Topic = Web服务:- 无法建立信任关系 -用于SSL / TLS- ...
如果您不想盲目地信任所有人,并且只对某些主机设置信任例外,则以下解决方案更合适。
public static class Ssl
{
private static readonly string[] TrustedHosts = new[] {
"host1.domain.com",
"host2.domain.com"
};
public static void EnableTrustedHosts()
{
ServicePointManager.ServerCertificateValidationCallback =
(sender, certificate, chain, errors) =>
{
if (errors == SslPolicyErrors.None)
{
return true;
}
var request = sender as HttpWebRequest;
if (request != null)
{
return TrustedHosts.Contains(request.RequestUri.Host);
}
return false;
};
}
}然后,在您的应用程序启动时只需调用Ssl.EnableTrustedHosts。
卢克(Lake)对此写了一篇很好的文章。
原因(引用他的文章(减去诅咒))“。.上面的代码的问题是,如果您的证书无效,它就不起作用。为什么我要使用无效的SSL证书发布到网页?我很便宜,我不想在测试盒中支付Verisign或其他**- *证书的费用,所以我对它进行了自签名。当我发送请求时,我遇到了一个可爱的异常:
System.Net.WebException 基础连接已关闭。无法与远程服务器建立信任关系。
我不了解您,但是对我来说,该异常看起来像是由于我的代码中一个愚蠢的错误导致POST失败而引起的。因此,我一直在搜索,调整和做各种奇怪的事情。只有在我搜索了*** n事物之后,我才发现遇到无效的SSL证书后的默认行为是抛出此异常。..”
Microsoft的SSL诊断工具可能能够帮助识别问题。
更新链接现已修复。
我刚遇到这个问题。我的解决方法是通过手动同步到时间服务器来更新系统时间。为此,您可以:
Adjust Date/TimeInternet Time标签Change SettingsUpdate Now就我而言,这是不正确地同步的,因此我必须单击几次才能正确更新。如果继续错误更新,您甚至可以尝试使用服务器下拉列表中的其他时间服务器。
尝试这个:
System.Net.ServicePointManager.SecurityProtocol = System.Net.SecurityProtocolType.Tls12;请注意,您至少必须使用4.5 .NET Framework
我.NET在Internet Explorer的应用程序中遇到了类似的问题。
我解决了将证书(本例中为VeriSign Class 3证书)添加到受信任的编辑器证书的问题。
Go to Internet Options-> Content -> Publishers and import it如果从以下位置导出证书,则可以获取证书:
Internet Options-> Content -> Certificates -> Intermediate Certification Authorities -> VeriSign Class 3 Public Primary Certification Authority - G5谢谢
就我而言,我试图使用IIS 7在Visual Studio环境中测试SSL。
我最终要做的就是使它工作:
在IIS右侧“绑定...”部分的我的网站下,我必须将“ https”绑定添加到端口443,然后选择“ IIS Express开发证书”。
在我网站右侧的“高级设置...”部分下,我不得不将“已启用协议”从“ http”更改为“ https”。
在“ SSL设置”图标下,我为客户端证书选择了“接受”。
然后,我不得不回收应用程序池。
我还必须使用mmc.exe将本地主机证书导入到我的个人存储中。
我的web.config文件已经正确配置,因此,在整理完上述所有内容之后,我便可以继续进行测试。
我的解决方案(VB.Net,此应用程序的“登台”(UAT)版本需要使用“登台”证书,但在请求进入实时站点后不影响请求):
...
Dim url As String = ConfigurationManager.AppSettings("APIURL") & "token"
If url.ToLower().Contains("staging") Then
System.Net.ServicePointManager.ServerCertificateValidationCallback = AddressOf AcceptAllCertifications
End If
...
Private Function AcceptAllCertifications(ByVal sender As Object, ByVal certification As System.Security.Cryptography.X509Certificates.X509Certificate, ByVal chain As System.Security.Cryptography.X509Certificates.X509Chain, ByVal sslPolicyErrors As System.Net.Security.SslPolicyErrors) As Boolean
Return True
End Function如果证书无效,则在ServerCertificateValidationCallback返回true时; 我的ServerCertificateValidationCallback代码:
ServicePointManager.ServerCertificateValidationCallback += delegate
{
LogWriter.LogInfo("Проверка сертификата отключена, на уровне ServerCertificateValidationCallback");
return true;
};我的阻止执行ServerCertificateValidationCallback的代码:
if (!(ServicePointManager.CertificatePolicy is CertificateValidation))
{
CertificateValidation certValidate = new CertificateValidation();
certValidate.ValidatingError += new CertificateValidation.ValidateCertificateEventHandler(this.OnValidateCertificateError);
ServicePointManager.CertificatePolicy = certValidate;
}OnValidateCertificateError函数:
private void OnValidateCertificateError(object sender, CertificateValidationEventArgs e)
{
string msg = string.Format(Strings.OnValidateCertificateError, e.Request.RequestUri, e.Certificate.GetName(), e.Problem, new Win32Exception(e.Problem).Message);
LogWriter.LogError(msg);
//Message.ShowError(msg);
}我禁用了CertificateValidation代码和ServerCertificateValidationCallback运行得很好