ไม่สามารถสร้างความสัมพันธ์ที่เชื่อถือได้สำหรับช่องทางที่ปลอดภัยของ SSL / TLS - SOAP

ฉันมีการเรียกใช้บริการเว็บอย่างง่ายที่สร้างโดยแอป windows. NET (C #) 2.0 ผ่านพร็อกซีบริการเว็บที่สร้างโดย Visual Studio สำหรับบริการบนเว็บที่เขียนด้วย C # (2.0) สิ่งนี้ได้ผลเป็นเวลาหลายปีและยังคงทำเช่นนั้นในสถานที่ที่เป็นที่รู้จัก

การติดตั้งใหม่ที่ไซต์ใหม่กำลังประสบปัญหา เมื่อพยายามที่จะเรียกใช้บริการเว็บมันล้มเหลวด้วยข้อความว่า:

ไม่สามารถสร้างความสัมพันธ์ที่เชื่อถือได้สำหรับช่องทางที่ปลอดภัยของ SSL / TLS

URL ของบริการบนเว็บใช้ SSL (https: //) - แต่มันใช้งานได้เป็นเวลานาน (และยังคงทำเช่นนั้น) จากที่อื่น ๆ

ฉันจะมองที่ไหน นี่อาจเป็นปัญหาด้านความปลอดภัยระหว่าง Windows และ. NET ที่ไม่ซ้ำกับการติดตั้งนี้หรือไม่? ถ้าเป็นเช่นนั้นฉันจะตั้งค่าความสัมพันธ์ที่เชื่อถือได้ที่ไหน ฉันหลงทาง!

ความคิด (ขึ้นอยู่กับความเจ็บปวดในอดีต):

• คุณมี DNS และการมองเห็นของเซิร์ฟเวอร์หรือไม่
• คุณใช้ชื่อที่ถูกต้องจากใบรับรองหรือไม่
• ใบรับรองยังใช้งานได้
• ตัวโหลดบาลานซ์ที่กำหนดค่าไม่ดีทำสิ่งต่าง ๆ สับสนหรือไม่
• เครื่องเซิร์ฟเวอร์ใหม่มีการตั้งค่านาฬิกาอย่างถูกต้องหรือไม่ (เช่นเวลา UTC ถูกต้อง [ละเว้นเวลาท้องถิ่นมันไม่เกี่ยวข้องส่วนใหญ่]) - สิ่งนี้สำคัญสำหรับ WCF ดังนั้นอาจส่งผลกระทบต่อ SOAP ปกติ?
• มีปัญหาห่วงโซ่ใบรับรองที่เชื่อถือได้หรือไม่ หากคุณเรียกดูจากเซิร์ฟเวอร์ไปยังบริการสบู่คุณจะได้รับ SSL หรือไม่
• เกี่ยวข้องกับด้านบน - มีการติดตั้งใบรับรองในตำแหน่งที่ถูกต้องหรือไม่ (คุณอาจต้องการสำเนาใน Trusted Root Certificate Authorities)
• พร็อกซีระดับเซิร์ฟเวอร์ของเครื่องตั้งค่าถูกต้องหรือไม่ (ซึ่งแตกต่างกับพร็อกซีของผู้ใช้); ดู proxycfg สำหรับ XP / 2003 (ไม่แน่ใจเกี่ยวกับ Vista ฯลฯ )

ตัวอย่างต่อไปนี้จะแก้ไขกรณีที่มีบางอย่างผิดปกติกับใบรับรอง SSL บนเซิร์ฟเวอร์ที่คุณโทร ตัวอย่างเช่นอาจเป็นชื่อตัวเองหรือชื่อโฮสต์ระหว่างใบรับรองและเซิร์ฟเวอร์อาจไม่ตรงกัน

สิ่งนี้เป็นอันตรายหากคุณโทรหาเซิร์ฟเวอร์นอกการควบคุมโดยตรงเนื่องจากคุณไม่สามารถมั่นใจได้ว่าคุณกำลังพูดคุยกับเซิร์ฟเวอร์ที่คุณคิดว่าคุณเชื่อมต่ออยู่ อย่างไรก็ตามหากคุณกำลังติดต่อกับเซิร์ฟเวอร์ภายในและการได้รับใบรับรอง "ถูกต้อง" นั้นไม่สามารถใช้งานได้ให้ใช้วิธีการต่อไปนี้เพื่อแจ้งให้บริการเว็บละเว้นปัญหาใบรับรองและทหารกล้าหาญ

สองคนแรกใช้การแสดงออกแลมบ์ดาที่สามใช้รหัสปกติ คนแรกยอมรับใบรับรองใด ๆ อย่างน้อยสองครั้งล่าสุดตรวจสอบว่าชื่อโฮสต์ในใบรับรองเป็นชื่อที่คุณคาดหวัง
... หวังว่าคุณจะพบว่ามีประโยชน์

//Trust all certificates
System.Net.ServicePointManager.ServerCertificateValidationCallback =
    ((sender, certificate, chain, sslPolicyErrors) => true);

// trust sender
System.Net.ServicePointManager.ServerCertificateValidationCallback
                = ((sender, cert, chain, errors) => cert.Subject.Contains("YourServerName"));

// validate cert by calling a function
ServicePointManager.ServerCertificateValidationCallback += new RemoteCertificateValidationCallback(ValidateRemoteCertificate);

// callback used to validate the certificate in an SSL conversation
private static bool ValidateRemoteCertificate(object sender, X509Certificate cert, X509Chain chain, SslPolicyErrors policyErrors)
{
    bool result = cert.Subject.Contains("YourServerName");
    return result;
}

วิธีการแก้ปัญหา "จับทั้งหมด" ที่ง่ายมากคือ:

System.Net.ServicePointManager.ServerCertificateValidationCallback = delegate { return true; };

การแก้ปัญหาจาก sebastian-castaldi มีรายละเอียดเพิ่มเติมเล็กน้อย

โดยส่วนตัวแล้วฉันชอบวิธีแก้ปัญหาต่อไปนี้มากที่สุด:

using System.Security.Cryptography.X509Certificates;
using System.Net.Security;

... จากนั้นก่อนที่คุณจะรับข้อผิดพลาดให้ทำดังต่อไปนี้

System.Net.ServicePointManager.ServerCertificateValidationCallback = delegate(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors) { return true; };

พบสิ่งนี้หลังจากปรึกษาโซลูชันของลุค

หากคุณใช้ Windows 2003 คุณสามารถลอง:

เปิดคอนโซลการจัดการของ Microsoft (เริ่ม -> เรียกใช้ -> mmc.exe);

เลือกไฟล์ -> เพิ่ม / ลบสแนปอิน;

ในแท็บสแตนด์อโลนเลือกเพิ่ม

เลือกสแน็ปอินใบรับรองและคลิกเพิ่ม;

ในตัวช่วยสร้างเลือกบัญชีคอมพิวเตอร์จากนั้นเลือกคอมพิวเตอร์เฉพาะที่ กดเสร็จสิ้นเพื่อสิ้นสุดตัวช่วยสร้าง;

ปิดไดอะล็อกเพิ่ม / ลบสแนปอิน

นำทางไปยังใบรับรอง (Local Computer) และเลือกร้านค้าที่จะนำเข้า:

หากคุณมีใบรับรอง Root CA สำหรับ บริษัท ที่ออกใบรับรองให้เลือกผู้ออกใบรับรองหลักที่เชื่อถือได้

หากคุณมีใบรับรองสำหรับเซิร์ฟเวอร์นั้นให้เลือกบุคคลอื่น

คลิกขวาที่ร้านค้าและเลือกงานทั้งหมด -> นำเข้า

ทำตามตัวช่วยสร้างและระบุไฟล์ใบรับรองที่คุณมี

หลังจากนั้นให้เริ่มต้น IIS ใหม่แล้วลองเรียกใช้บริการทางเว็บอีกครั้ง

การอ้างอิง: http://www.outsystems.com/NetworkForums/ViewTopic.aspx?Topic=Web-Services:-Could-not-establish-trust-relationship-for-the-SSL/TLS- ...

หากคุณไม่ต้องการเชื่อใจทุกคนแบบสุ่มสี่สุ่มห้าและทำการยกเว้นความไว้วางใจสำหรับโฮสต์บางแห่งโซลูชันต่อไปนี้เหมาะสมกว่า

public static class Ssl
{
    private static readonly string[] TrustedHosts = new[] {
      "host1.domain.com", 
      "host2.domain.com"
    };

    public static void EnableTrustedHosts()
    {
      ServicePointManager.ServerCertificateValidationCallback = 
      (sender, certificate, chain, errors) =>
      {
        if (errors == SslPolicyErrors.None)
        {
          return true;
        }

        var request = sender as HttpWebRequest;
        if (request != null)
        {
          return TrustedHosts.Contains(request.RequestUri.Host);
        }

        return false;
      };
    }
}

จากนั้นเพียงโทร Ssl.EnableTrustedHosts เมื่อแอปของคุณเริ่มทำงาน

ลุคเขียนบทความที่ดีงามเกี่ยวกับเรื่องนี้ .. ค่อนข้างตรงไปตรงมา .. ลองทำดู

ทางออกของลุค

เหตุผล (อ้างจากบทความของเขา (ลบสาปแช่ง)) ".. ปัญหาเกี่ยวกับรหัสข้างต้นคือมันไม่ทำงานหากใบรับรองของคุณไม่ถูกต้องทำไมฉันจะโพสต์ไปยังหน้าเว็บที่มีใบรับรอง SSL ที่ไม่ถูกต้องเพราะ ฉันราคาถูกและฉันไม่รู้สึกว่าจ่าย Verisign หรืออย่างใดอย่างหนึ่ง** - * s สำหรับใบรับรองไปยังกล่องทดสอบของฉันดังนั้นฉันจึงเซ็นชื่อเองเมื่อฉันส่งคำขอฉันได้รับข้อยกเว้นที่น่ารัก:

System.Net.WebException การเชื่อมต่อพื้นฐานถูกปิด ไม่สามารถสร้างความสัมพันธ์ที่เชื่อถือได้กับเซิร์ฟเวอร์ระยะไกล

ฉันไม่รู้เกี่ยวกับคุณ แต่สำหรับฉันแล้วข้อยกเว้นนั้นดูเหมือนสิ่งที่อาจเกิดจากความผิดพลาดโง่ ๆ ในรหัสของฉันซึ่งทำให้ POST ล้มเหลว ดังนั้นฉันค้นหาต่อไปและปรับเปลี่ยนและทำสิ่งแปลก ๆ ทุกประเภท หลังจากที่ฉันเข้าไปในสิ่งที่ *** ฉันพบว่าพฤติกรรมเริ่มต้นหลังจากพบใบรับรอง SSL ที่ไม่ถูกต้องคือการทิ้งข้อยกเว้นนี้ .."

เครื่องมือวินิจฉัย SSLของ Microsoft อาจสามารถระบุปัญหาได้

อัปเดตลิงก์ได้รับการแก้ไขแล้ว

ฉันเพิ่งพบปัญหานี้ ความละเอียดของฉันคือการปรับปรุงเวลาของระบบโดยการซิงค์กับเซิร์ฟเวอร์เวลาด้วยตนเอง ในการทำเช่นนี้คุณสามารถ:

• คลิกขวาที่นาฬิกาในแถบงาน
• เลือก Adjust Date/Time
• เลือกInternet Timeแท็บ
• คลิก Change Settings
• เลือก Update Now

ในกรณีของฉันการซิงค์ไม่ถูกต้องดังนั้นฉันต้องคลิกหลาย ๆ ครั้งก่อนที่จะอัปเดตอย่างถูกต้อง หากยังคงอัปเดตอย่างไม่ถูกต้องคุณสามารถลองใช้เซิร์ฟเวอร์เวลาอื่นจากดรอปดาวน์เซิร์ฟเวอร์

ลองสิ่งนี้:

System.Net.ServicePointManager.SecurityProtocol = System.Net.SecurityProtocolType.Tls12;

ขอให้สังเกตว่าคุณต้องทำงานอย่างน้อยกับ 4.5 .NET Framework

ฉันมีปัญหาคล้ายกันใน.NETแอพใน Internet Explorer

ฉันแก้ไขปัญหาการเพิ่มใบรับรอง (ใบรับรองคลาส VeriSign 3 ในกรณีของฉัน) ไปยังใบรับรองบรรณาธิการที่เชื่อถือได้

Go to Internet Options-> Content -> Publishers and import it

คุณสามารถรับใบรับรองได้หากคุณส่งออกจาก:

Internet Options-> Content -> Certificates -> Intermediate Certification Authorities -> VeriSign Class 3 Public Primary Certification Authority - G5

ขอบคุณ

ฉันมีข้อผิดพลาดนี้ทำงานกับเว็บเซิร์ฟเวอร์ที่มี URL เช่น:

a.b.domain.com

แต่ไม่มีใบรับรองสำหรับเรื่องนี้ดังนั้นฉันจึงได้รับ DNS ที่เรียกว่า

a_b.domain.com

เพียงแค่บอกใบ้ให้กับโซลูชันนี้ที่นี่เนื่องจากสิ่งนี้ขึ้นมาบน google

สำหรับผู้ที่มีปัญหานี้ผ่านทางฝั่งไคลเอ็นต์ VS เมื่อเพิ่มการอ้างอิงบริการเรียบร้อยแล้วและพยายามดำเนินการเรียกครั้งแรกได้รับข้อยกเว้นนี้:“ การเชื่อมต่อพื้นฐานถูกปิด: ไม่สามารถสร้างความสัมพันธ์ที่เชื่อถือได้สำหรับช่องทางที่ปลอดภัย SSL / TLS” ถ้า คุณกำลังใช้ (เช่นกรณีของฉัน) URL ปลายทางที่มีที่อยู่ IP และได้รับข้อยกเว้นนี้คุณอาจต้องเพิ่มการอ้างอิงบริการอีกครั้งโดยทำตามขั้นตอนนี้:

• เปิด URL ปลายทางใน Internet Explorer
• คลิกที่ข้อผิดพลาดใบรับรอง (ไอคอนสีแดงในแถบที่อยู่)
• คลิกที่ดูใบรับรอง
• หยิบออกมาเพื่อ: "ชื่อ" และแทนที่ที่อยู่ IP หรือชื่ออะไรก็ตามที่เราใช้และได้รับข้อผิดพลาดสำหรับ "ชื่อ" นี้

ลองอีกครั้ง :). ขอบคุณ

ในกรณีของฉันฉันพยายามทดสอบSSLในสภาพแวดล้อม Visual Studio โดยใช้ IIS 7

นี่คือสิ่งที่ฉันทำเพื่อให้มันทำงาน:

• ภายใต้ไซต์ของฉันในส่วน 'การผูก ... ' ทางด้านขวาใน IIS ฉันต้องเพิ่มการผูก 'https' กับพอร์ต 443 และเลือก "ใบรับรองการพัฒนา IIS Express"

• ใต้ไซต์ของฉันในส่วน 'การตั้งค่าขั้นสูง ... ' ทางด้านขวาฉันต้องเปลี่ยน 'โปรโตคอลที่เปิดใช้งาน' จาก "http" เป็น "https"

• ใต้ไอคอน 'การตั้งค่า SSL' ฉันเลือก 'ยอมรับ' สำหรับใบรับรองลูกค้า

• จากนั้นฉันต้องรีไซเคิลแอพพูล

• ฉันยังต้องนำเข้าใบรับรองโฮสต์ในท้องถิ่นไปยังร้านค้าส่วนตัวของฉันโดยใช้ mmc.exe

web.configไฟล์ของฉันได้รับการกำหนดค่าอย่างถูกต้องแล้วดังนั้นหลังจากที่ฉันได้แยกออกทั้งหมดฉันสามารถทำการทดสอบต่อไปได้

โซลูชันของฉัน (VB.Net เวอร์ชั่น "staging" (UAT) ของแอปพลิเคชันนี้ต้องทำงานกับใบรับรอง "staging" แต่ไม่ส่งผลกระทบต่อการร้องขอเมื่ออยู่บนไซต์จริง):

    ...
        Dim url As String = ConfigurationManager.AppSettings("APIURL") & "token"
        If url.ToLower().Contains("staging") Then
           System.Net.ServicePointManager.ServerCertificateValidationCallback = AddressOf AcceptAllCertifications
        End If
    ...

    Private  Function AcceptAllCertifications(ByVal sender As Object, ByVal certification As System.Security.Cryptography.X509Certificates.X509Certificate, ByVal chain As System.Security.Cryptography.X509Certificates.X509Chain, ByVal sslPolicyErrors As System.Net.Security.SslPolicyErrors) As Boolean
        Return True
    End Function

ถ้าไม่ทำงาน sertificate ไม่ดีเมื่อ ServerCertificateValidationCallback คืนค่าจริง รหัส ServerCertificateValidationCallback ของฉัน:

ServicePointManager.ServerCertificateValidationCallback += delegate
{
    LogWriter.LogInfo("Проверка сертификата отключена, на уровне ServerCertificateValidationCallback");
    return true;
};

รหัสของฉันซึ่งป้องกันการเรียกใช้งาน ServerCertificateValidationCallback:

     if (!(ServicePointManager.CertificatePolicy is CertificateValidation))
    {
        CertificateValidation certValidate = new CertificateValidation();
        certValidate.ValidatingError += new CertificateValidation.ValidateCertificateEventHandler(this.OnValidateCertificateError);
        ServicePointManager.CertificatePolicy = certValidate;
    }

ฟังก์ชัน OnValidateCertificateError:

private void OnValidateCertificateError(object sender, CertificateValidationEventArgs e)
{
    string msg = string.Format(Strings.OnValidateCertificateError, e.Request.RequestUri, e.Certificate.GetName(), e.Problem, new Win32Exception(e.Problem).Message);
    LogWriter.LogError(msg);
    //Message.ShowError(msg);
}

ฉันปิดใช้งานรหัส CertificateValidation และ ServerCertificateValidationCallback ทำงานได้ดีมาก