Vertrauensbeziehung für SSL / TLS Secure Channel - SOAP konnte nicht hergestellt werden

Ich habe einen einfachen Webdienstaufruf, der von einer .NET (C #) 2.0-Windows-App über den von Visual Studio generierten Webdienst-Proxy für einen ebenfalls in C # (2.0) geschriebenen Webdienst generiert wird. Dies funktioniert seit mehreren Jahren und wird auch weiterhin an etwa einem Dutzend Orten durchgeführt, an denen es ausgeführt wird.

Bei einer Neuinstallation an einem neuen Standort tritt ein Problem auf. Beim Versuch, den Webdienst aufzurufen, schlägt die folgende Meldung fehl:

Es konnte keine Vertrauensbeziehung für den sicheren SSL / TLS-Kanal hergestellt werden

Die URL des Webdienstes verwendet SSL (https: //) - dies funktioniert jedoch seit langem (und wird auch weiterhin) von vielen anderen Standorten aus.

Wo schaue ich Könnte dies ein Sicherheitsproblem zwischen Windows und .NET sein, das nur bei dieser Installation auftritt? Wenn ja, wo richte ich Vertrauensbeziehungen ein? Ich bin verloren!

Gedanken (basierend auf Schmerzen in der Vergangenheit):

• Haben Sie DNS und Sichtverbindung zum Server?
• Verwenden Sie den richtigen Namen aus dem Zertifikat?
• Ist das Zertifikat noch gültig?
• Ist ein schlecht konfigurierter Load Balancer durcheinander?
• Ist auf dem neuen Server die Uhr richtig eingestellt (dh die UTC-Zeit ist korrekt [Ortszeit ignorieren, sie spielt keine Rolle]) - dies ist sicherlich für WCF von Bedeutung und kann sich daher auf die reguläre SOAP auswirken.
• Gibt es ein Problem mit der Zertifikatsvertrauenskette? Können Sie SSL erhalten, wenn Sie vom Server zum Seifendienst navigieren?
• im Zusammenhang mit dem oben genannten - Wurde das Zertifikat am richtigen Ort installiert? (Möglicherweise benötigen Sie eine Kopie in Trusted Root Certification Authorities.)
• Ist der Proxy auf Maschinenebene des Servers richtig eingestellt? (die sich vom Proxy des Benutzers unterscheiden); siehe proxycfg für XP / 2003 (nicht sicher über Vista usw.)

Die folgenden Snippets beheben den Fall, dass mit dem SSL-Zertifikat auf dem Server, den Sie anrufen, ein Fehler vorliegt. Beispielsweise kann es selbstsigniert sein oder der Hostname zwischen dem Zertifikat und dem Server stimmt möglicherweise nicht überein.

Dies ist gefährlich, wenn Sie einen Server außerhalb Ihrer direkten Kontrolle anrufen, da Sie nicht mehr so ​​sicher sein können, dass Sie mit dem Server sprechen, mit dem Sie verbunden sind. Wenn Sie jedoch mit internen Servern zu tun haben und es nicht praktikabel ist, ein "korrektes" Zertifikat zu erhalten, verwenden Sie die folgenden Anweisungen, um den Webdienst anzuweisen, die Zertifikatprobleme zu ignorieren und mutig zu arbeiten.

Die ersten beiden verwenden Lambda-Ausdrücke, die dritte verwendet regulären Code. Der erste akzeptiert jedes Zertifikat. Die letzten beiden überprüfen mindestens, ob der Hostname im Zertifikat der erwartete ist.
... hoffe du findest es hilfreich

//Trust all certificates
System.Net.ServicePointManager.ServerCertificateValidationCallback =
    ((sender, certificate, chain, sslPolicyErrors) => true);

// trust sender
System.Net.ServicePointManager.ServerCertificateValidationCallback
                = ((sender, cert, chain, errors) => cert.Subject.Contains("YourServerName"));

// validate cert by calling a function
ServicePointManager.ServerCertificateValidationCallback += new RemoteCertificateValidationCallback(ValidateRemoteCertificate);

// callback used to validate the certificate in an SSL conversation
private static bool ValidateRemoteCertificate(object sender, X509Certificate cert, X509Chain chain, SslPolicyErrors policyErrors)
{
    bool result = cert.Subject.Contains("YourServerName");
    return result;
}

Die sehr einfache "catch all" -Lösung lautet:

System.Net.ServicePointManager.ServerCertificateValidationCallback = delegate { return true; };

Die Lösung von Sebastian-Castaldi ist etwas detaillierter.

Ich persönlich mag die folgende Lösung am meisten:

using System.Security.Cryptography.X509Certificates;
using System.Net.Security;

... bevor Sie den Fehler anfordern, gehen Sie wie folgt vor

System.Net.ServicePointManager.ServerCertificateValidationCallback = delegate(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors) { return true; };

Fand dies nach Rücksprache mit Luke's Solution

Wenn Sie Windows 2003 verwenden, können Sie Folgendes versuchen:

Öffnen Sie die Microsoft Management Console (Start -> Ausführen -> mmc.exe).

Wählen Sie "Datei" -> "Snap-In hinzufügen / entfernen".

Wählen Sie auf der Registerkarte "Standalone" die Option "Hinzufügen".

Wählen Sie das Zertifikat-Snap-In aus und klicken Sie auf Hinzufügen.

Wählen Sie im Assistenten das Computerkonto und dann Lokaler Computer. Drücken Sie Fertig stellen, um den Assistenten zu beenden.

Schließen Sie das Dialogfeld "Snap-In hinzufügen / entfernen".

Navigieren Sie zu Zertifikate (lokaler Computer) und wählen Sie ein Geschäft aus, das importiert werden soll:

Wenn Sie über das Stammzertifizierungsstellenzertifikat für das Unternehmen verfügen, das das Zertifikat ausgestellt hat, wählen Sie Vertrauenswürdige Stammzertifizierungsstellen.

Wenn Sie das Zertifikat für den Server selbst haben, wählen Sie Andere Personen

Klicken Sie mit der rechten Maustaste auf das Geschäft und wählen Sie Alle Aufgaben -> Importieren

Folgen Sie dem Assistenten und geben Sie die Zertifikatdatei an, über die Sie verfügen.

Starten Sie danach einfach IIS neu und rufen Sie den Webdienst erneut auf.

Referenz: http://www.outsystems.com/NetworkForums/ViewTopic.aspx?Topic=Web-Services:-Could-not-establish-trust-relationship-for-the-SSL/TLS- ...

Wenn Sie nicht jedem blind vertrauen und nur für bestimmte Hosts eine Vertrauensausnahme machen möchten, ist die folgende Lösung besser geeignet.

public static class Ssl
{
    private static readonly string[] TrustedHosts = new[] {
      "host1.domain.com", 
      "host2.domain.com"
    };

    public static void EnableTrustedHosts()
    {
      ServicePointManager.ServerCertificateValidationCallback = 
      (sender, certificate, chain, errors) =>
      {
        if (errors == SslPolicyErrors.None)
        {
          return true;
        }

        var request = sender as HttpWebRequest;
        if (request != null)
        {
          return TrustedHosts.Contains(request.RequestUri.Host);
        }

        return false;
      };
    }
}

Rufen Sie dann einfach Ssl.EnableTrustedHosts auf, wenn Ihre App gestartet wird.

Luke hat einen ziemlich guten Artikel darüber geschrieben. Ganz einfach. Probieren Sie es aus

Lukes Lösung

Grund (Zitat aus seinem Artikel (minus Fluchen)) ".. Das Problem mit dem obigen Code ist, dass es nicht funktioniert, wenn Ihr Zertifikat nicht gültig ist. Warum sollte ich auf einer Webseite mit und ungültigem SSL-Zertifikat posten? Weil Ich bin billig und hatte keine Lust, Verisign oder einen der anderen ** - * für ein Zertifikat an meine Testbox zu bezahlen, also habe ich es selbst unterschrieben. Als ich die Anfrage schickte, wurde mir eine schöne Ausnahme zugeworfen:

System.Net.WebException Die zugrunde liegende Verbindung wurde geschlossen. Es konnte keine Vertrauensbeziehung zum Remoteserver hergestellt werden.

Ich weiß nichts über dich, aber für mich sah diese Ausnahme wie etwas aus, das durch einen dummen Fehler in meinem Code verursacht wurde, der dazu führte, dass der POST fehlschlug. Also suchte ich weiter und optimierte und machte alle möglichen seltsamen Dinge. Erst nachdem ich das *** n-Ding gegoogelt hatte, stellte ich fest, dass das Standardverhalten nach dem Auftreten eines ungültigen SSL-Zertifikats darin besteht, genau diese Ausnahme auszulösen. .. "

Das SSL-Diagnosetool von Microsoft kann möglicherweise zur Identifizierung des Problems beitragen.

UPDATE Der Link wurde jetzt behoben.

Ich bin gerade auf dieses Problem gestoßen. Mein Vorsatz war es, die Systemzeit durch manuelle Synchronisierung mit den Zeitservern zu aktualisieren. Dazu können Sie:

• Klicken Sie mit der rechten Maustaste auf die Uhr in der Taskleiste
• Wählen Adjust Date/Time
• Wählen Sie die Internet TimeRegisterkarte
• Klicken Change Settings
• Wählen Update Now

In meinem Fall wurde dies falsch synchronisiert, sodass ich mehrmals darauf klicken musste, bevor es korrekt aktualisiert wurde. Wenn die Aktualisierung weiterhin nicht korrekt durchgeführt wird, können Sie sogar versuchen, einen anderen Zeitserver als das Server-Dropdown-Menü zu verwenden.

Versuche dies:

System.Net.ServicePointManager.SecurityProtocol = System.Net.SecurityProtocolType.Tls12;

Beachten Sie, dass Sie mindestens mit 4.5 .NET Framework arbeiten müssen

Ich hatte ein ähnliches Problem in der .NETApp im Internet Explorer.

Ich habe das Problem beim Hinzufügen des Zertifikats (in meinem Fall VeriSign Class 3-Zertifikat) zu Zertifikaten vertrauenswürdiger Editoren gelöst.

Go to Internet Options-> Content -> Publishers and import it

Sie können das Zertifikat erhalten, wenn Sie es exportieren von:

Internet Options-> Content -> Certificates -> Intermediate Certification Authorities -> VeriSign Class 3 Public Primary Certification Authority - G5

Vielen Dank

Ich hatte diesen Fehler auf einem Webserver mit einer URL wie:

a.b.domain.com

Da es jedoch kein Zertifikat dafür gab, wurde ein DNS aufgerufen

a_b.domain.com

Ich möchte hier nur einen Hinweis auf diese Lösung geben, da dies in Google ganz oben stand.

Für diejenigen, die dieses Problem über eine VS-Clientseite haben, nachdem sie erfolgreich eine Dienstreferenz hinzugefügt und versucht haben, den ersten Aufruf auszuführen, wurde die folgende Ausnahme angezeigt: "Die zugrunde liegende Verbindung wurde geschlossen: Es konnte keine Vertrauensbeziehung für den sicheren SSL / TLS-Kanal hergestellt werden." Wenn Sie (wie in meinem Fall) eine Endpunkt-URL mit der IP-Adresse verwenden und diese Ausnahme erhalten haben, müssen Sie wahrscheinlich die Dienstreferenz erneut hinzufügen, indem Sie die folgenden Schritte ausführen:

• Öffnen Sie die Endpunkt-URL in Internet Explorer.
• Klicken Sie auf den Zertifikatfehler (rotes Symbol in der Adressleiste)
• Klicken Sie auf Zertifikate anzeigen.
• Holen Sie sich den ausgegebenen Namen: "Name" und ersetzen Sie die IP-Adresse oder den von uns verwendeten Namen, um den Fehler für diesen "Namen" zu erhalten.

Versuch es noch einmal :). Vielen Dank

In meinem Fall habe ich versucht, SSL in meiner Visual Studio-Umgebung mit IIS 7 zu testen .

Folgendes habe ich getan, um es zum Laufen zu bringen:

• Unter meiner Site im Abschnitt 'Bindungen ...' rechts in IIS musste ich die 'https'-Bindung zu Port 443 hinzufügen und "IIS Express-Entwicklungszertifikat" auswählen.

• Unter meiner Website im Abschnitt "Erweiterte Einstellungen ..." auf der rechten Seite musste ich die "Aktivierten Protokolle" von "http" in "https" ändern.

• Unter dem Symbol "SSL-Einstellungen" habe ich "Akzeptieren" für Client-Zertifikate ausgewählt.

• Dann musste ich den App-Pool recyceln.

• Ich musste auch das lokale Host-Zertifikat mit mmc.exe in meinen persönlichen Shop importieren.

Meine web.configDatei war bereits korrekt konfiguriert, und nachdem ich alle oben genannten Punkte erledigt hatte, konnte ich meine Tests fortsetzen.

Meine Lösung (VB.Net, die "Staging" (UAT) -Version dieser Anwendung muss mit dem "Staging" -Zertifikat arbeiten, aber keine Auswirkungen auf Anforderungen haben, sobald sie sich auf der Live-Site befinden):

    ...
        Dim url As String = ConfigurationManager.AppSettings("APIURL") & "token"
        If url.ToLower().Contains("staging") Then
           System.Net.ServicePointManager.ServerCertificateValidationCallback = AddressOf AcceptAllCertifications
        End If
    ...

    Private  Function AcceptAllCertifications(ByVal sender As Object, ByVal certification As System.Security.Cryptography.X509Certificates.X509Certificate, ByVal chain As System.Security.Cryptography.X509Certificates.X509Chain, ByVal sslPolicyErrors As System.Net.Security.SslPolicyErrors) As Boolean
        Return True
    End Function

Wenn nicht, funktioniert schlechtes Sertifikat, wenn ServerCertificateValidationCallback true zurückgibt; Mein ServerCertificateValidationCallback-Code:

ServicePointManager.ServerCertificateValidationCallback += delegate
{
    LogWriter.LogInfo("Проверка сертификата отключена, на уровне ServerCertificateValidationCallback");
    return true;
};

Mein Code, den ServerCertificateValidationCallback verhindert hat:

     if (!(ServicePointManager.CertificatePolicy is CertificateValidation))
    {
        CertificateValidation certValidate = new CertificateValidation();
        certValidate.ValidatingError += new CertificateValidation.ValidateCertificateEventHandler(this.OnValidateCertificateError);
        ServicePointManager.CertificatePolicy = certValidate;
    }

OnValidateCertificateError-Funktion:

private void OnValidateCertificateError(object sender, CertificateValidationEventArgs e)
{
    string msg = string.Format(Strings.OnValidateCertificateError, e.Request.RequestUri, e.Certificate.GetName(), e.Problem, new Win32Exception(e.Problem).Message);
    LogWriter.LogError(msg);
    //Message.ShowError(msg);
}

Ich habe den CertificateValidation-Code deaktiviert und ServerCertificateValidationCallback läuft sehr gut