我在Azure应用程序标准:1小计划上运行应用程序.框架是4.6.1
此应用程序正在调用SSL安全API.SSL由StartCom Class 1 DV Server CA发布,我的本地浏览器告诉我证书有效.
如果我在本地计算机上运行该应用程序一切正常.但是,当部署到azure时,它会失败并出现以下错误:
System.Net.Http.HttpRequestException:发送请求时发生错误.---> System.Net.WebException:请求已中止:无法创建SSL/TLS安全通道.
在System.Net.HttpWebRequest.EndGetResponse(IAsyncResult asyncResult)
在System.Net.Http.HttpClientHandler.GetResponseCallback(IAsyncResult ar)
---内部异常堆栈跟踪结束---
在System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(任务任务)
在System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(任务任务)
代码:
public async Task<List<QutationOverview>> GetAll(string url, DateTime lastActionDate)
{
var result = string.Empty;
try
{
var userName = await _settingManager.GetSettingValueAsync("API.UserName");
var password = await _settingManager.GetSettingValueAsync("API.Password");
ServicePointManager.SecurityProtocol = SecurityProtocolType.Ssl3 | SecurityProtocolType.Tls |
SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12;
ServicePointManager
.ServerCertificateValidationCallback +=
(sender, cert, chain, sslPolicyErrors) => true;
//Add date filter
//Always request qutations where the last action took place >= Yesterday
var requestUrl =
$"GetALL/?last_action_date={lastActionDate.AddDays(-1).ToString("yyyy-MM-dd")}&format=json";
var baseAddress = new Uri(url);
var credentials = Convert.ToBase64String(Encoding.ASCII.GetBytes($"{userName}:{password}"));
Logger.InfoFormat("GetAllQuotationsAsync for url {0}{1}", url, requestUrl);
using (var httpClient = new HttpClient {BaseAddress = baseAddress})
{
httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic", credentials);
using (var response = await httpClient.GetAsync(requestUrl))
{
result = await response.Content.ReadAsStringAsync();
Logger.Info(result);
}
}
}
catch (Exception ex)
{
Logger.ErrorFormat("GetAllQuotationsAsync {0}: {1}", url, ex);
}
var data = JsonConvert.DeserializeObject<List<QutationOverview>>(result);
return data;
}
如您所见,我跳过了证书的验证并添加了安全协议.
但是,请求仍然失败.
这是受限制的响应 http://textuploader.com/5ers0
你知道如何让这个在Azure上运行吗?
捕获 TLS 握手。如果您的 ServerHello 丢失,您很可能没有与遥控器通用的密码套件。
通过https://www.ssllabs.com/ssltest/运行两者以检查两端支持的密码套件。对于 Windows Server,密码套件只能全局启用或禁用(因为客户端/服务器组件之间没有区别),这就是为什么这是一个很好的测试。
更新:在我的推理中发现了一个明显的问题,App Service 有一个前端层,这就是 TLS 终止的地方,因此比较密码无处可去。
相反,运行
Get-TlsCipherSuite
来自 Kudu 的 PowerShell 并将密码与您的远程 API(您可以在https://ssllabs.com/ssltest检查的密码)进行比较。你应该至少有一场比赛。
如果没有匹配项,您将需要切换到云服务或虚拟机,并至少启用远程使用的密码套件之一。必须朝这个方向发展通常意味着一件事——您的遥控器使用的是弱加密(SSL 3.0 或 TLS 1.0 和 RC4),您应该与这些公民聊天,或者找到正在使用 TLS 1.2 的新公民。
从您的 System.Net 跟踪:
[8356] 00000000 : 15 03 03 00 02
这是Fatal Handshake Error的字节序列,它建立在我不常见的密码理论之上。
注意第一个字节 ( 0x15):
Record Type Values dec hex
-------------------------------------
CHANGE_CIPHER_SPEC 20 0x14
ALERT 21 0x15
HANDSHAKE 22 0x16
APPLICATION_DATA 23 0x17
小智 6
我在 Azure 的应用服务上托管客户端证书时遇到了这个错误。修复方法是在应用程序设置中设置 WEBSITE_LOAD_CERTIFICATES。
您可以将其设置为“*”以允许所有证书,或者您可以定义特定的证书指纹以允许。在此处查看更多信息。
| 归档时间: |
|
| 查看次数: |
5989 次 |
| 最近记录: |