Как временно остановить ошибки сертификатов с помощью служб WCF - PullRequest
15 голосов
/ 22 сентября 2010

Я тестирую раннюю версию созданной мной веб-службы WCF.На стороне клиента, когда я использую VS для «добавления ссылки на службу», все работает.

Но когда я пытаюсь использовать службу, я получаю сообщение об ошибке,

Could not establish trust relationship for the SSL/TLS secure
channel with authority **

Там, где звездочки представляют IP-адрес сервера.

В любом случае на сервере есть сертификат безопасности, но он был сгенерирован только для тестирования, поэтому на данный момент меня не волнуют ошибки сертификата.

На стороне клиента для меня сгенерирован app.config,

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
    <system.serviceModel>
        <bindings>
            <wsHttpBinding>
                <binding name="BindingName" closeTimeout="00:01:00"
                    openTimeout="00:01:00" receiveTimeout="00:10:00" sendTimeout="00:01:00"
                    bypassProxyOnLocal="false" transactionFlow="false" hostNameComparisonMode="StrongWildcard"
                    maxBufferPoolSize="524288" maxReceivedMessageSize="65536"
                    messageEncoding="Text" textEncoding="utf-8" useDefaultWebProxy="true"
                    allowCookies="false">
                    <readerQuotas maxDepth="32" maxStringContentLength="8192" maxArrayLength="16384"
                        maxBytesPerRead="4096" maxNameTableCharCount="16384" />
                    <reliableSession ordered="true" inactivityTimeout="00:10:00"
                        enabled="false" />
                    <security mode="Transport">
                        <transport clientCredentialType="Windows" proxyCredentialType="None"
                            realm="" />
                        <message clientCredentialType="Windows" negotiateServiceCredential="true" />
                    </security>
                </binding>
            </wsHttpBinding>
        </bindings>
        <client>
            <endpoint address="***************"
                binding="wsHttpBinding" bindingConfiguration="BindingName"
                contract="***************" name="BindingName">
                <identity>
                    <servicePrincipalName value="***************" />
                </identity>
            </endpoint>
        </client>
    </system.serviceModel>
</configuration>

Итак, какие настройки мне нужно изменить, чтобы временно игнорировать ошибки сертификата?

Ответы [ 5 ]

27 голосов
/ 22 сентября 2010

Установите CertificatePolicy PRIOR для инициализации службы WCF на клиенте.Вот как (просто один раз вызовите метод SetCertificatePolicy ())

 /// <summary>
    /// Sets the cert policy.
    /// </summary>
    private static void SetCertificatePolicy()
    {
        ServicePointManager.ServerCertificateValidationCallback += ValidateRemoteCertificate;
    }

    /// <summary>
    /// Certificate validation callback 
    /// </summary>
    private static bool ValidateRemoteCertificate(object sender, X509Certificate cert, X509Chain chain, SslPolicyErrors error)
    {
        if (error == SslPolicyErrors.None)
        {
           return true;   // already determined to be valid
        }

        switch (cert.GetCertHashString())
        {
           // thumbprints/hashes of allowed certificates (uppercase)
           case "066CF9CAD814DE2097D368F22D3A7D398B87C4D6":
           case "5B82C96685E3A20079B8CE7AFA32554D55DB9611":

              Debug.WriteLine("Trusting X509Certificate '" + cert.Subject + "'");
              return true;

           default:
              return false;
        }
    }
14 голосов
/ 04 сентября 2013
<configuration>
  <system.net>
    <settings>
      <servicePointManager checkCertificateName="false" checkCertificateRevocationList="false" />
    </settings>
  </system.net>
</configuration>

Это работает для меня. Спасибо

4 голосов
/ 08 июля 2013

Изменение web.config у меня сработало

Я сделал это, используя ответ Стива Эллингера и немного погуглив.По сути, мне пришлось:

  • указать менеджеру HTTP-соединений использовать сертификат без сопоставления имени сертификата с именем хоста сервера и без проверки, был ли сертификат отозван
  • изменить поведение конечной точкина стороне клиента для отключения проверки сертификата

Вот фрагменты web.config ...

<configuration>

  <system.net>
    <settings>
      <servicePointManager checkCertificateName="false" checkCertificateRevocationList="false" />
    </settings>
  </system.net>

  <system.serviceModel>
    <client>
      <endpoint ... behaviorConfiguration="DisableServiceCertificateValidation" />
    </client>

    <behaviors>
      <endpointBehaviors>
        <behavior name="DisableServiceCertificateValidation">
          <clientCredentials>
            <serviceCertificate>
              <authentication certificateValidationMode="None"
                              revocationMode="NoCheck" />
            </serviceCertificate>
          </clientCredentials>
        </behavior>
      </endpointBehaviors>
    </behaviors>
  </system.serviceModel>

</configuration>
4 голосов
/ 23 сентября 2010

Проверьте ответ на этот вопрос:

Как мне сказать WCF, чтобы пропустить проверку сертификата?

это дает два возможных решения: 1. используя только записи конфигурации на стороне клиента или же 2. использовать специальный валидатор сертификатов, который использует как код, так и записи конфигурации

3 голосов
/ 15 июня 2015

Вы также можете переопределить этот oneliner.

ServicePointManager.ServerCertificateValidationCallback += (sender, certificate, chain, errors) => true;

Просто вставьте его в сгенерированный клиентский конструктор WCF в Reference.cs

[System.Diagnostics.DebuggerStepThroughAttribute()]
[System.CodeDom.Compiler.GeneratedCodeAttribute("System.ServiceModel", "4.0.0.0")]
public partial class WebQuoteServiceClient : System.ServiceModel.ClientBase<Corp.Legal.Webservices.ServiceReference1.IWebQuoteService>, Corp.Legal.Webservices.ServiceReference1.IWebQuoteService {

    public WebQuoteServiceClient()
    {
        ServicePointManager.ServerCertificateValidationCallback += (sender, certificate, chain, errors) => true;
    }
Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...