如何解决"无法与权限建立SSL/TLS安全通道的信任关系"

Question

真的以为我修好了这个问题,但之前只是伪装了.

我使用HTTPS在IIS 7中托管了WCF服务.当我在Internet Explorer中浏览到此站点时,它就像一个魅力,这是因为我已将证书添加到本地根证书颁发机构商店.

我正在一台机器上开发,所以客户端和服务器是同一台机器.该证书直接从IIS 7管理管理单元自签名.

我现在不断得到这个错误......

无法为具有权限的SSL/TLS安全通道建立信任关系.

...从客户端控制台调用时.

我手动给自己的权限和网络服务证书,使用findprivatekey和使用cacls.exe.

我试图使用SOAPUI连接到服务,这是有效的,所以它必须是我的客户端应用程序中的一个问题,这是基于过去使用http的代码.

在哪里可以看到我似乎已经耗尽了为什么我无法连接的所有可能性？

Answer 1

作为一种变通方法,你可以一个处理程序添加到ServicePointManager的ServerCertificateValidationCallback客户端上:

System.Net.ServicePointManager.ServerCertificateValidationCallback +=
    (se, cert, chain, sslerror) =>
        {
            return true;
        };

但请注意,这不是一个好的做法,因为它完全忽略了服务器证书,并告诉服务点经理无论哪种证书都可以,这会严重损害客户端的安全性.您可以对此进行优化并进行一些自定义检查(对于证书名称,哈希等).至少你可以在开发过程中避免使用测试证书时的问题.

Answer 2

当我遇到这个问题时,因为client.config的端点如下:

 https://myserver/myservice.svc 

但证书是期待的

 https://myserver.mydomain.com/myservice.svc

更改端点以匹配服务器的FQDN可以解决我的问题.我知道这不是导致这个问题的唯一原因.

Answer 3

您的问题出现是因为您使用的是自签名密钥.客户端不信任此密钥,密钥本身也不提供验证链或证书吊销列表.

你有几个选择 - 你可以

1. 关闭客户端的证书验证(坏动作,中间人攻击比比皆是)

2. 使用makecert创建根CA并从中创建证书(ok move,但仍然没有CRL)

3. 使用Windows证书服务器或其他PKI解决方案创建内部根CA然后信任该根证书(管理有点痛苦)

4. 从其中一个受信任的CA购买SSL证书(昂贵)

Answer 4

前两个使用lambda,第三个使用常规代码...希望你发现它有用

            //Trust all certificates
            System.Net.ServicePointManager.ServerCertificateValidationCallback =
                ((sender, certificate, chain, sslPolicyErrors) => true);

            // trust sender
            System.Net.ServicePointManager.ServerCertificateValidationCallback
                = ((sender, cert, chain, errors) => cert.Subject.Contains("YourServerName"));

            // validate cert by calling a function
            ServicePointManager.ServerCertificateValidationCallback += new RemoteCertificateValidationCallback(ValidateRemoteCertificate);

    // callback used to validate the certificate in an SSL conversation
    private static bool ValidateRemoteCertificate(object sender, X509Certificate cert, X509Chain chain, SslPolicyErrors policyErrors)
    {
        bool result = false;
        if (cert.Subject.ToUpper().Contains("YourServerName"))
        {
            result = true;
        }

        return result;
    }

Answer 5

一线解决方案.在客户端调用服务器之前将其添加到任何位置:

System.Net.ServicePointManager.ServerCertificateValidationCallback += delegate { return true; };

这应仅用于测试目的,因为客户端将跳过SSL/TLS安全检查.

Answer 6

我遇到了同样的问题,我能够用两个解决方案来解决它:首先,我使用MMC管理单元"证书"作为"计算机帐户"并将自签名证书拖到"受信任的根证书颁发机构"文件夹中.这意味着本地计算机(生成证书的计算机)现在将信任该证书.其次,我注意到证书是为某些内部计算机名生成的,但是使用其他名称访问了Web服务.验证证书时,这会导致不匹配.我们为computer.operations.local生成了证书,但是使用https://computer.internaldomain.companydomain.com访问了Web服务.当我们将URL切换到用于生成证书的URL时,我们不再有错误.

也许只是切换URL会起作用,但通过使证书可信,您也可以避免Internet Explorer中的红色屏幕,它告诉您它不信任证书.

Answer 7

请执行以下步骤:

1. 在IE中打开服务链接.

2. 单击地址栏中提到的证书错误,然后单击查看证书.

3. 检查签发:名称.

4. 获取已颁发的名称,并使用完全限定的域名(FQDN)替换服务中的localhost和客户端端点基址.

例如:https:// localhost:203/SampleService.svc到https:// INL-126166-.groupinfra.com:203/SampleService.svc

Answer 8

如果您使用.net core，请尝试以下操作：

client.ClientCredentials.ServiceCertificate.SslCertificateAuthentication =
        new X509ServiceCertificateAuthentication()
        {
            CertificateValidationMode = X509CertificateValidationMode.None,
            RevocationMode = System.Security.Cryptography.X509Certificates.X509RevocationMode.NoCheck
        };

Answer 9

我有同样的问题。我还在本地商店中添加了CA证书，但是我采用了错误的方式。

使用mmc控制台（开始->运行-> mmc），您应该将证书管理单元添加为服务帐户（选择IIS的服务帐户）或计算机帐户（为计算机上的每个帐户添加）

这是我在说什么的图片

从现在开始，您可以添加CA的证书（受信任的根CA和中间CA），并且一切正常

Answer 10

除上述答案外，如果客户端运行的TLS版本错误（例如，服务器仅运行TLS 1.2），则可能会遇到此错误。

您可以使用以下方法修复它：

// tested in .NET 4.5:
ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12;