Обход ошибок недействительного сертификата SSL при вызове веб-сервисов в .Net

Question

Мы настраиваем новый SharePoint, для которого у нас еще нет действительного сертификата SSL. Я хотел бы вызвать веб-сервис Lists для получения метаданных о настройке. Однако, когда я пытаюсь сделать это, я получаю исключение:

Базовое соединение было закрыто: не удалось установить доверительные отношения для безопасного канала SSL / TLS.

Вложенное исключение содержит сообщение об ошибке:

Удаленный сертификат недействителен в соответствии с процедурой проверки.

Это правильно, так как мы используем временный сертификат.

Мой вопрос: как я могу сказать клиенту веб-службы .Net ( SoapHttpClientProtocol ) игнорировать эти ошибки?

Answer 1

В качестве альтернативы вы можете зарегистрировать делегата обратного вызова, который игнорирует ошибку сертификации:

...
ServicePointManager.ServerCertificateValidationCallback = MyCertHandler;
...

static bool MyCertHandler(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors error)
{
// Ignore errors
return true;
}

Answer 2

Как и ответ Джейсона С:

ServicePointManager.ServerCertificateValidationCallback = delegate { return true; };

Я помещаю это в свой Main и смотрю на мой app.config и проверяю (ConfigurationManager.AppSettings["IgnoreSSLCertificates"] == "True") перед вызовом этой строки кода.

Answer 3

Я решил это так:

Позвоните по следующему адресу перед вызовом вашего ssl webservice, который вызывает эту ошибку:

using System.Net;
using System.Net.Security;
using System.Security.Cryptography.X509Certificates;

/// <summary>
/// solution for exception
/// System.Net.WebException: 
/// The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel. ---> System.Security.Authentication.AuthenticationException: The remote certificate is invalid according to the validation procedure.
/// </summary>
public static void BypassCertificateError()
{
    ServicePointManager.ServerCertificateValidationCallback +=

        delegate(
            Object sender1,
            X509Certificate certificate,
            X509Chain chain,
            SslPolicyErrors sslPolicyErrors)
        {
            return true;
        };
}

Answer 4

Подход, который я использовал, столкнувшись с этой проблемой, заключался в добавлении лица, подписавшего временный сертификат, в список доверенных лиц на рассматриваемом компьютере.

Обычно я делаю тестирование с сертификатами, созданными с помощью CACERT, и добавление их в мой список доверенных лиц работает без проблем.

Выполнение этого означает, что вам не нужно добавлять какой-либо пользовательский код в ваше приложение, и оно правильно имитирует то, что произойдет, когда ваше приложение будет развернуто. Поэтому я считаю, что это превосходное решение для программного отключения проверки.

Answer 5

У меня была такая же ошибка при использовании DownloadString; и смог сделать так, как показано ниже, с предложениями на этой странице

System.Net.WebClient client = new System.Net.WebClient();            
ServicePointManager.ServerCertificateValidationCallback = delegate { return true; };
string sHttpResonse = client.DownloadString(sUrl);

Answer 6

ServicePointManager.ServerCertificateValidationCallback +=
            (mender, certificate, chain, sslPolicyErrors) => true;

будет обходить вторженный ssl. Напишите это вашему конструктору веб-сервисов.

Answer 7

Для дальнейшего расширения поста Саймона Джонсона - в идеале вам нужно решение, которое будет имитировать условия, которые вы увидите в работе, и изменение кода не сделает этого и может быть опасным, если вы забудете вынуть код перед развертыванием это.

Вам понадобится какой-либо самозаверяющий сертификат. Если вы используете IIS Express, у вас уже будет один из них, вам просто нужно его найти. Откройте Firefox или любой другой браузер, который вам нравится, и перейдите на сайт разработчика. Вы должны иметь возможность просматривать информацию о сертификате в строке URL, и в зависимости от вашего браузера вы сможете экспортировать сертификат в файл.

Далее откройте MMC.exe и добавьте оснастку «Сертификат». Импортируйте файл сертификата в хранилище доверенных корневых центров сертификации, и это все, что вам нужно. Важно убедиться, что он входит в этот магазин, а не в какой-нибудь другой магазин, такой как «Личный». Если вы не знакомы с MMC или сертификатами, существует множество веб-сайтов с информацией о том, как это сделать.

Теперь ваш компьютер в целом будет неявно доверять любым сертификатам, которые он сам сгенерировал, и вам не нужно будет добавлять код для специальной обработки. Когда вы перейдете к производству, он продолжит работать, если на нем установлен правильный действительный сертификат. Не делайте этого на рабочем сервере - это было бы плохо, и это не будет работать для других клиентов, кроме тех, которые находятся на самом сервере.

Answer 8

для новичков, вы можете расширить свой частичный класс обслуживания в отдельный файл cs и добавить код, предоставленный «imanabidi», чтобы интегрировать его