Tidak dapat membangun hubungan saling percaya untuk saluran aman SSL / TLS - SOAP

Saya memiliki panggilan layanan web sederhana, yang dihasilkan oleh aplikasi .NET (C #) windows 2.0, melalui proksi layanan web yang dihasilkan oleh Visual Studio, untuk layanan web yang juga ditulis dalam C # (2.0). Ini telah bekerja selama beberapa tahun, dan terus melakukannya di selusin tempat di mana ia berjalan.

Instalasi baru di situs baru mengalami masalah. Ketika mencoba menjalankan layanan web, itu gagal dengan pesan yang mengatakan:

Tidak dapat membangun hubungan saling percaya untuk saluran aman SSL / TLS

URL layanan web menggunakan SSL (https: //) - tetapi ini telah bekerja untuk waktu yang lama (dan terus melakukannya) dari banyak lokasi lain.

Di mana saya melihat? Mungkinkah ini masalah keamanan antara Windows dan .NET yang unik untuk pemasangan ini? Jika demikian, di mana saya mengatur hubungan saling percaya? Saya tersesat!

Pikiran (berdasarkan rasa sakit di masa lalu):

• apakah Anda memiliki DNS dan saling berhadapan dengan server?
• apakah Anda menggunakan nama yang benar dari sertifikat?
• apakah sertifikat masih berlaku?
• Apakah penyeimbang beban yang dikonfigurasi dengan buruk mengacaukan segalanya?
• apakah server baru mesin memiliki jam yang diatur dengan benar (yaitu agar waktu UTC benar [abaikan waktu setempat, sebagian besar tidak dapat dibatalkan]) - ini tentu penting untuk WCF, sehingga dapat berdampak pada sabun biasa?
• apakah ada masalah rantai kepercayaan sertifikat? jika Anda menjelajah dari server ke layanan sabun, dapatkah Anda mendapatkan SSL?
• terkait dengan hal di atas - sudahkah sertifikat dipasang ke lokasi yang benar? (Anda mungkin perlu salinan dalam Otoritas Sertifikasi Root Tepercaya)
• Apakah proxy tingkat mesin server diatur dengan benar? (yang berbeda dengan proxy pengguna); lihat proxycfg untuk XP / 2003 (tidak yakin tentang Vista dll)

Cuplikan berikut akan memperbaiki kasus di mana ada sesuatu yang salah dengan sertifikat SSL di server yang Anda panggil. Misalnya, mungkin ditandatangani sendiri atau nama host antara sertifikat dan server mungkin tidak cocok.

Ini berbahaya jika Anda memanggil server di luar kendali langsung Anda, karena Anda tidak lagi dapat memastikan bahwa Anda berbicara dengan server yang Anda pikir Anda terhubung. Namun, jika Anda berhadapan dengan server internal dan mendapatkan sertifikat "benar" tidak praktis, gunakan yang berikut ini untuk memberi tahu layanan web untuk mengabaikan masalah sertifikat dan terus mengaktifkan prajurit.

Dua yang pertama menggunakan ekspresi lambda, yang ketiga menggunakan kode reguler. Yang pertama menerima sertifikat apa pun. Dua yang terakhir setidaknya memeriksa bahwa nama host dalam sertifikat adalah yang Anda harapkan.
... semoga bermanfaat

//Trust all certificates
System.Net.ServicePointManager.ServerCertificateValidationCallback =
    ((sender, certificate, chain, sslPolicyErrors) => true);

// trust sender
System.Net.ServicePointManager.ServerCertificateValidationCallback
                = ((sender, cert, chain, errors) => cert.Subject.Contains("YourServerName"));

// validate cert by calling a function
ServicePointManager.ServerCertificateValidationCallback += new RemoteCertificateValidationCallback(ValidateRemoteCertificate);

// callback used to validate the certificate in an SSL conversation
private static bool ValidateRemoteCertificate(object sender, X509Certificate cert, X509Chain chain, SslPolicyErrors policyErrors)
{
    bool result = cert.Subject.Contains("YourServerName");
    return result;
}

Solusi "tangkap semua" yang sangat sederhana adalah ini:

System.Net.ServicePointManager.ServerCertificateValidationCallback = delegate { return true; };

Solusi dari sebastian-castaldi sedikit lebih detail.

Saya pribadi paling suka solusi berikut:

using System.Security.Cryptography.X509Certificates;
using System.Net.Security;

... lalu sebelum Anda meminta kesalahan, lakukan yang berikut ini

System.Net.ServicePointManager.ServerCertificateValidationCallback = delegate(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors) { return true; };

Menemukan ini setelah berkonsultasi dengan Solusi Luke

Jika Anda menggunakan Windows 2003, Anda dapat mencoba ini:

Buka Microsoft Management Console (Mulai -> Jalankan -> mmc.exe);

Pilih File -> Tambah / Hapus Snap-in;

Di tab Standalone, pilih Tambah;

Pilih snap-in Sertifikat, dan klik Tambah;

Di wisaya, pilih Akun Komputer, lalu pilih Komputer Lokal. Tekan Selesai untuk mengakhiri panduan;

Tutup dialog Tambah / Hapus Snap-in;

Arahkan ke Sertifikat (Komputer Lokal) dan pilih toko yang akan diimpor:

Jika Anda memiliki sertifikat CA Root untuk perusahaan yang mengeluarkan sertifikat, pilih Otoritas Sertifikasi Root Tepercaya;

Jika Anda memiliki sertifikat untuk server itu sendiri, pilih Orang Lain

Klik kanan toko dan pilih Semua Tugas -> Impor

Ikuti wizard dan berikan file sertifikat yang Anda miliki;

Setelah itu, cukup restart IIS dan coba panggil layanan web lagi.

Referensi: http://www.outsystems.com/NetworkForums/ViewTopic.aspx?Topic=Web-Services:-Could-not-establish-trust-relationship-for-the-SSL/TLS- ...

Jika Anda tidak ingin mempercayai semua orang secara membabi buta dan membuat pengecualian kepercayaan hanya untuk host tertentu, solusi berikut ini lebih tepat.

public static class Ssl
{
    private static readonly string[] TrustedHosts = new[] {
      "host1.domain.com", 
      "host2.domain.com"
    };

    public static void EnableTrustedHosts()
    {
      ServicePointManager.ServerCertificateValidationCallback = 
      (sender, certificate, chain, errors) =>
      {
        if (errors == SslPolicyErrors.None)
        {
          return true;
        }

        var request = sender as HttpWebRequest;
        if (request != null)
        {
          return TrustedHosts.Contains(request.RequestUri.Host);
        }

        return false;
      };
    }
}

Kemudian panggil Ssl.EnableTrustedHosts saat aplikasi Anda dimulai.

Luke menulis artikel yang cukup bagus tentang ini .. cukup jujur ​​.. coba ini

Solusi Luke

Alasan (kutipan dari artikelnya (minus kutukan)) ".. Masalah dengan kode di atas adalah tidak berfungsi jika sertifikat Anda tidak valid. Mengapa saya memposting ke halaman web dengan dan sertifikat SSL tidak valid? Karena Saya murah dan saya tidak merasa ingin membayar Verisign atau salah satu dari yang lain ** - * s untuk sertifikat ke kotak tes saya jadi saya sendiri yang menandatanganinya. Ketika saya mengirim permintaan, saya mendapat pengecualian yang indah:

System.Net.WebException Koneksi yang mendasarinya ditutup. Tidak dapat menjalin hubungan kepercayaan dengan server jauh.

Saya tidak tahu tentang Anda, tetapi bagi saya pengecualian itu tampak seperti sesuatu yang akan disebabkan oleh kesalahan konyol dalam kode saya yang menyebabkan POST gagal. Jadi saya terus mencari, dan mengutak-atik serta melakukan semua hal aneh. Hanya setelah saya mencari di Google hal yang saya temukan bahwa perilaku default setelah menemukan sertifikat SSL yang tidak valid adalah dengan membuang pengecualian ini. .. "

Alat Diagnostik SSL Microsoft mungkin dapat membantu mengidentifikasi masalah.

Perbarui tautan telah diperbaiki sekarang.

Saya baru saja mengalami masalah ini. Resolusi saya adalah memperbarui waktu sistem dengan menyinkronkan secara manual ke server waktu. Untuk melakukan ini, Anda dapat:

• Klik kanan jam di bilah tugas
• Pilih Adjust Date/Time
• Pilih menu Internet Time tab
• Klik Change Settings
• Pilih Update Now

Dalam kasus saya ini salah sinkronisasi sehingga saya harus mengkliknya beberapa kali sebelum diperbarui dengan benar. Jika pembaruan terus salah, Anda bahkan dapat mencoba menggunakan server waktu yang berbeda dari drop-down server.

Coba ini:

System.Net.ServicePointManager.SecurityProtocol = System.Net.SecurityProtocolType.Tls12;

Perhatikan bahwa Anda harus bekerja setidaknya dengan 4.5 .NET framework

Saya punya masalah serupa di .NETaplikasi di Internet Explorer.

Saya memecahkan masalah dengan menambahkan sertifikat (sertifikat VeriSign Kelas 3 dalam kasus saya) ke sertifikat editor tepercaya.

Go to Internet Options-> Content -> Publishers and import it

Anda bisa mendapatkan sertifikat jika Anda mengekspornya dari:

Internet Options-> Content -> Certificates -> Intermediate Certification Authorities -> VeriSign Class 3 Public Primary Certification Authority - G5

Terima kasih

Saya mengalami kesalahan ini berjalan melawan server web dengan url seperti:

a.b.domain.com

tapi tidak ada sertifikat untuk itu, jadi saya mendapat DNS yang disebut

a_b.domain.com

Hanya memberi petunjuk untuk solusi ini di sini karena ini muncul di google.

Bagi mereka yang mengalami masalah ini melalui sisi klien VS sekali berhasil menambahkan referensi layanan dan mencoba untuk melakukan panggilan pertama mendapat pengecualian ini: "Koneksi yang mendasarinya ditutup: Tidak dapat membangun hubungan kepercayaan untuk saluran aman SSL / TLS" Jika Anda menggunakan (seperti kasus saya) URL titik akhir dengan alamat IP dan mendapatkan pengecualian ini, maka Anda mungkin harus menambahkan kembali referensi layanan melakukan langkah-langkah ini:

• Buka URL titik akhir di Internet Explorer.
• Klik pada kesalahan sertifikat (ikon merah di bilah alamat)
• Klik pada Lihat sertifikat.
• Ambil yang dikeluarkan untuk: "nama" dan ganti alamat IP atau nama apa pun yang kami gunakan dan dapatkan kesalahan untuk "nama" ini.

Coba lagi :). Terima kasih

Dalam kasus saya, saya mencoba menguji SSL di lingkungan Visual Studio saya menggunakan IIS 7.

Inilah yang akhirnya saya lakukan untuk membuatnya bekerja:

• Di bawah situs saya di bagian 'Bindings ...' di sebelah kanan di IIS, saya harus menambahkan 'https' yang mengikat ke port 443 dan pilih "IIS Express Developement Certificate".

• Di bawah situs saya di bagian 'Pengaturan Lanjut ...' di sebelah kanan saya harus mengubah 'Protokol yang Diaktifkan' dari "http" menjadi "https".

• Di bawah ikon 'Pengaturan SSL' saya memilih 'Terima' untuk sertifikat klien.

• Kemudian saya harus mendaur ulang kumpulan aplikasi.

• Saya juga harus mengimpor sertifikat host lokal ke toko pribadi saya menggunakan mmc.exe.

web.configFile saya sudah dikonfigurasi dengan benar, jadi setelah saya menyelesaikan semua hal di atas, saya dapat melanjutkan pengujian saya.

Solusi saya (VB.Net, versi "staging" (UAT) aplikasi ini perlu bekerja dengan sertifikat "staging" tetapi tidak mempengaruhi permintaan begitu mereka berada di situs langsung):

    ...
        Dim url As String = ConfigurationManager.AppSettings("APIURL") & "token"
        If url.ToLower().Contains("staging") Then
           System.Net.ServicePointManager.ServerCertificateValidationCallback = AddressOf AcceptAllCertifications
        End If
    ...

    Private  Function AcceptAllCertifications(ByVal sender As Object, ByVal certification As System.Security.Cryptography.X509Certificates.X509Certificate, ByVal chain As System.Security.Cryptography.X509Certificates.X509Chain, ByVal sslPolicyErrors As System.Net.Security.SslPolicyErrors) As Boolean
        Return True
    End Function

Jika tidak bekerja sertifikat buruk, ketika ServerCertificateValidationCallback mengembalikan true; Kode ServerCertificateValidationCallback saya:

ServicePointManager.ServerCertificateValidationCallback += delegate
{
    LogWriter.LogInfo("Проверка сертификата отключена, на уровне ServerCertificateValidationCallback");
    return true;
};

Kode saya yang dicegah menjalankan ServerCertificateValidationCallback:

     if (!(ServicePointManager.CertificatePolicy is CertificateValidation))
    {
        CertificateValidation certValidate = new CertificateValidation();
        certValidate.ValidatingError += new CertificateValidation.ValidateCertificateEventHandler(this.OnValidateCertificateError);
        ServicePointManager.CertificatePolicy = certValidate;
    }

Fungsi OnValidateCertificateError:

private void OnValidateCertificateError(object sender, CertificateValidationEventArgs e)
{
    string msg = string.Format(Strings.OnValidateCertificateError, e.Request.RequestUri, e.Certificate.GetName(), e.Problem, new Win32Exception(e.Problem).Message);
    LogWriter.LogError(msg);
    //Message.ShowError(msg);
}

Saya menonaktifkan kode CertificateValidation dan ServerCertificateValidationCallback berjalan sangat baik