Mengizinkan Sertifikat SSL Tidak Tepercaya dengan HttpClient

Saya kesulitan untuk membuat aplikasi Windows 8 saya berkomunikasi dengan API web pengujian saya melalui SSL.

Tampaknya HttpClient / HttpClientHandler tidak menyediakan dan opsi untuk mengabaikan sertifikat tidak tepercaya seperti WebRequest memungkinkan Anda untuk (meskipun dengan cara "hacky" ServerCertificateValidationCallback).

Bantuan apa pun akan sangat dihargai!

Dengan Windows 8.1, Anda sekarang dapat mempercayai sertifikat SSL yang tidak valid. Anda harus menggunakan Windows.Web.HttpClient atau jika Anda ingin menggunakan System.Net.Http.HttpClient, Anda dapat menggunakan adaptor penangan pesan yang saya tulis: http://www.nuget.org/packages/WinRtHttpClientHandler

Docs ada di GitHub: https://github.com/onovotny/WinRtHttpClientHandler

Solusi cepat dan kotor adalah menggunakan ServicePointManager.ServerCertificateValidationCallbackdelegasi. Ini memungkinkan Anda untuk memberikan validasi sertifikat Anda sendiri. Validasi diterapkan secara global di seluruh Domain Aplikasi.

ServicePointManager.ServerCertificateValidationCallback +=
    (sender, cert, chain, sslPolicyErrors) => true;

Saya menggunakan ini terutama untuk pengujian unit dalam situasi di mana saya ingin menjalankan titik akhir yang saya hosting dalam proses dan saya mencoba untuk memukulnya dengan klien WCF atau HttpClient.

Untuk kode produksi Anda mungkin menginginkan kontrol yang lebih halus dan akan lebih baik menggunakan properti WebRequestHandlerdan ServerCertificateValidationCallbackdelegasinya (Lihat jawaban dtb di bawah ). Atau jawaban ctacke menggunakan HttpClientHandler. Saya lebih memilih salah satu dari keduanya sekarang bahkan dengan tes integrasi saya daripada bagaimana saya dulu melakukannya kecuali saya tidak dapat menemukan kait lain.

Lihat Kelas WebRequestHandler dan Properti ServerCertificateValidationCallback -nya :

using (var handler = new WebRequestHandler())
{
    handler.ServerCertificateValidationCallback = ...

    using (var client = new HttpClient(handler))
    {
        ...
    }
}

Jika Anda mencoba melakukan ini di pustaka .NET Standard, berikut adalah solusi sederhana, dengan semua risiko hanya kembali trueke penangan Anda. Saya serahkan keamanan kepada Anda.

var handler = new HttpClientHandler();
handler.ClientCertificateOptions = ClientCertificateOption.Manual;
handler.ServerCertificateCustomValidationCallback = 
    (httpRequestMessage, cert, cetChain, policyErrors) =>
{
    return true;
};

var client = new HttpClient(handler);

Atau Anda bisa menggunakan untuk HttpClient di Windows.Web.Httpnamespace:

var filter = new HttpBaseProtocolFilter();
#if DEBUG
    filter.IgnorableServerCertificateErrors.Add(ChainValidationResult.Expired);
    filter.IgnorableServerCertificateErrors.Add(ChainValidationResult.Untrusted);
    filter.IgnorableServerCertificateErrors.Add(ChainValidationResult.InvalidName);
#endif
using (var httpClient = new HttpClient(filter)) {
    ...
}

Jika Anda menggunakan System.Net.Http.HttpClientSaya yakin pola yang benar adalah

var handler = new HttpClientHandler() 
{ 
    ServerCertificateCustomValidationCallback = HttpClientHandler.DangerousAcceptAnyServerCertificateValidator
};

var http = new HttpClient(handler);
var res = http.GetAsync(url);

Sebagian besar jawaban di sini menyarankan untuk menggunakan pola tipikal:

using (var httpClient = new HttpClient())
{
 // do something
}

karena antarmuka IDisposable. Tolong jangan!

Microsoft memberi tahu Anda alasannya:

• https://docs.microsoft.com/en-us/azure/architecture/antipatterns/improper-instantiation
• https://blogs.msdn.microsoft.com/henrikn/2012/08/07/httpclient-httpclienthandler-and-webrequesthandler-explained/

Dan di sini Anda dapat menemukan analisis terperinci tentang apa yang terjadi di balik layar: https://aspnetmonsters.com/2016/08/2016-08-27-httpclientwrong/

Mengenai pertanyaan SSL Anda dan berdasarkan https://docs.microsoft.com/en-us/azure/architecture/antipatterns/improper-instantiation/#how-to-fix-the-problem

Inilah pola Anda:

class HttpInterface
{
 // https://docs.microsoft.com/en-us/azure/architecture/antipatterns/improper-instantiation/#how-to-fix-the-problem
 // https://docs.microsoft.com/en-us/dotnet/api/system.net.http.httpclient#remarks
 private static readonly HttpClient client;

 // static initialize
 static HttpInterface()
 {
  // choose one of these depending on your framework

  // HttpClientHandler is an HttpMessageHandler with a common set of properties
  var handler = new HttpClientHandler();
  {
      ServerCertificateCustomValidationCallback = delegate { return true; },
  };
  // derives from HttpClientHandler but adds properties that generally only are available on full .NET
  var handler = new WebRequestHandler()
  {
      ServerCertificateValidationCallback = delegate { return true; },
      ServerCertificateCustomValidationCallback = delegate { return true; },
  };

  client = new HttpClient(handler);
 }

 .....

 // in your code use the static client to do your stuff
 var jsonEncoded = new StringContent(someJsonString, Encoding.UTF8, "application/json");

 // here in sync
 using (HttpResponseMessage resultMsg = client.PostAsync(someRequestUrl, jsonEncoded).Result)
 {
  using (HttpContent respContent = resultMsg.Content)
  {
   return respContent.ReadAsStringAsync().Result;
  }
 }
}

Jika ini untuk aplikasi Windows Runtime, maka Anda harus menambahkan sertifikat yang ditandatangani sendiri ke proyek dan mereferensikannya di appxmanifest.

Dokumennya ada di sini: http://msdn.microsoft.com/en-us/library/windows/apps/hh465031.aspx

Hal yang sama jika berasal dari CA yang tidak tepercaya (seperti CA pribadi yang tidak dipercaya oleh mesin itu sendiri) - Anda perlu mendapatkan sertifikat publik CA, tambahkan sebagai konten ke aplikasi lalu tambahkan ke manifes.

Setelah selesai, aplikasi akan melihatnya sebagai sertifikat yang ditandatangani dengan benar.

Saya tidak punya jawaban, tapi saya punya alternatif.

Jika Anda menggunakan Fiddler2 untuk memantau lalu lintas DAN mengaktifkan Dekripsi HTTPS, lingkungan pengembangan Anda tidak akan mengeluh. Ini tidak akan berfungsi pada perangkat WinRT, seperti Microsoft Surface, karena Anda tidak dapat menginstal aplikasi standar pada perangkat tersebut. Tapi komputer Win8 pengembangan Anda akan baik-baik saja.

Untuk mengaktifkan enkripsi HTTPS di Fiddler2, buka Alat> Opsi Fiddler> HTTPS (Tab)> Centang "Dekripsi Lalu Lintas HTTPS" .

Saya akan terus mengawasi utas ini dengan harapan ada seseorang yang memiliki solusi yang elegan.

Saya menemukan contoh di klien Kubernetes ini di mana mereka menggunakan X509VerificationFlags.AllowUnknownCertificateAuthority untuk memercayai sertifikat akar yang ditandatangani sendiri yang ditandatangani sendiri. Saya sedikit mengerjakan ulang contoh mereka untuk bekerja dengan sertifikat dasar yang dikodekan PEM kami sendiri. Semoga ini membantu seseorang.

namespace Utils
{
  using System;
  using System.Collections.Generic;
  using System.Linq;
  using System.Net.Security;
  using System.Security.Cryptography.X509Certificates;

  /// <summary>
  /// Verifies that specific self signed root certificates are trusted.
  /// </summary>
  public class HttpClientHandler : System.Net.Http.HttpClientHandler
  {
    /// <summary>
    /// Initializes a new instance of the <see cref="HttpClientHandler"/> class.
    /// </summary>
    /// <param name="pemRootCerts">The PEM encoded root certificates to trust.</param>
    public HttpClientHandler(IEnumerable<string> pemRootCerts)
    {
      foreach (var pemRootCert in pemRootCerts)
      {
        var text = pemRootCert.Trim();
        text = text.Replace("-----BEGIN CERTIFICATE-----", string.Empty);
        text = text.Replace("-----END CERTIFICATE-----", string.Empty);
        this.rootCerts.Add(new X509Certificate2(Convert.FromBase64String(text)));
      }

      this.ServerCertificateCustomValidationCallback = this.VerifyServerCertificate;
    }

    private bool VerifyServerCertificate(
      object sender,
      X509Certificate certificate,
      X509Chain chain,
      SslPolicyErrors sslPolicyErrors)
    {
      // If the certificate is a valid, signed certificate, return true.
      if (sslPolicyErrors == SslPolicyErrors.None)
      {
        return true;
      }

      // If there are errors in the certificate chain, look at each error to determine the cause.
      if ((sslPolicyErrors & SslPolicyErrors.RemoteCertificateChainErrors) != 0)
      {
        chain.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;

        // add all your extra certificate chain
        foreach (var rootCert in this.rootCerts)
        {
          chain.ChainPolicy.ExtraStore.Add(rootCert);
        }

        chain.ChainPolicy.VerificationFlags = X509VerificationFlags.AllowUnknownCertificateAuthority;
        var isValid = chain.Build((X509Certificate2)certificate);

        var rootCertActual = chain.ChainElements[chain.ChainElements.Count - 1].Certificate;
        var rootCertExpected = this.rootCerts[this.rootCerts.Count - 1];
        isValid = isValid && rootCertActual.RawData.SequenceEqual(rootCertExpected.RawData);

        return isValid;
      }

      // In all other cases, return false.
      return false;
    }

    private readonly IList<X509Certificate2> rootCerts = new List<X509Certificate2>();
  }
}

Saya menemukan contoh online yang tampaknya berfungsi dengan baik:

Pertama, Anda membuat ICertificatePolicy baru

using System.Security.Cryptography.X509Certificates;
using System.Net;

public class MyPolicy : ICertificatePolicy
{
  public bool CheckValidationResult(ServicePoint srvPoint, X509Certificate certificate, WebRequest request, 
int certificateProblem)
  {
    //Return True to force the certificate to be accepted.
    return true;
  }
}

Kemudian gunakan saja ini sebelum mengirim permintaan http Anda seperti:

System.Net.ServicePointManager.CertificatePolicy = new MyPolicy();

http://www.terminally-incoherent.com/blog/2008/05/05/send-a-https-post-request-with-c/