• 彻底解决:请求被中止: 未能创建 SSL/TLS 安全通道


    最近有个项目要调用客户用java写的带https的webservice,对方提供了证书文件 test.pfx,我这里调用方式如下:

    复制代码
    //webservice代理类
    SvcService svc = new SvcService();
    //证书文件路径
    string filePath = ConfigurationManager.AppSettings["pfxUrl"];
    X509Certificate cert = new System.Security.Cryptography.X509Certificates.X509Certificate(filePath, "123456");
    
    //将证书添加客户端证书集合
    svc.ClientCertificates.Add(cert);
    
    //webservice调用代码...
    复制代码

    测试调用报错:请求被中止: 未能创建 SSL/TLS 安全通道,于是赶紧google,找到如下解决方案:

    在webservice代理类的构造函数中添加下面的代码,绕过服务器证书验证。

    复制代码
    public static bool CheckValidationResult(object sender, System.Security.Cryptography.X509Certificates.X509Certificate certificate, X509Chain chain, SslPolicyErrors errors)
    {
            return true;
    }
            
    public SvcService() 
    {
        ServicePointManager.Expect100Continue = true;
        ServicePointManager.SecurityProtocol = SecurityProtocolType.Ssl3;
        ServicePointManager.ServerCertificateValidationCallback = new RemoteCertificateValidationCallback(CheckValidationResult);
                
        this.Url = ConfigurationManager.AppSettings["host"];
    }
    复制代码

    本地vs环境下再试,好了!调用成功!不报错了!于是赶紧发布到IIS服务器上试一下,郁闷的是服务器上居然报错,还是这个未能创建 SSL/TLS 安全通道!

    于是继续google,找到下面的解决方法:

    1.将客户端证书文件导入到本地计算机账户下的个人存储区。

    2.下载winhttpcertcfg.exe 这个工具,下载地址:http://www.microsoft.com/en-us/download/details.aspx?id=19801

    3.安装后一般是在C:Program FilesWindows Resource KitsTools这个路径下面。 进入cmd 执行如下命令:winhttpcertcfg -g -c LOCAL_MACHINEMY -s "test" -a "NetworkService"

    这里解释一下这几个参数的含义:

    -g 是grant授权的意思,将该证书的使用权限授予某个用户

    -c 是certstore证书存储区,指定 本地计算机/当前用户下的证书存储区位置,我们这里是MY,个人存储区

    -s 是subjectstr 用于模糊匹配证书的一个字符串,我们这里用证书文件名 test

    -a 是account要授权的用户帐号

    这里要注意的是授权账户,IIS6下面一般用的是NetworkService,如果你用的IIS7,必须要保证你网站所用的应用程序池的 "标识"和要授权的账户一致。

    执行成功之后,会列出模糊匹配出的证书列表和已经授权的账户。

    然后程序代码做如下更改:

    复制代码
    //webservice客户端代理类
    SvcService svc = new SvcService();
    //打开本地计算机下的个人证书存储区
    X509Store certStore = new System.Security.Cryptography.X509Certificates.X509Store(StoreName.My, StoreLocation.LocalMachine);
    certStore.Open(OpenFlags.ReadOnly);
    //根据名称查找匹配的证书集合,这里注意最后一个参数,传true的话会找不到
    X509Certificate2Collection certCollection = certStore.Certificates.Find(System.Security.Cryptography.X509Certificates.X509FindType.FindBySubjectName, "test", false);
    //将证书添加至客户端证书集合
    svc.ClientCertificates.Add(certCollection[0]);
    
    //webservice调用代码
    复制代码

    再测试了一下,调用正常!至此这个问题算圆满解决了!
    总结:我们导入的客户端证书并不是所有的账户都能访问和使用,因为我们的开发服务器也就是VS自带的服务器默认使用当前用户,而当前用户具有使用证书的权限,所以我们在本地调试的时候,一切正常。当我们将网站部署到IIS后,由于IIS的使用的是内置账户不具有证书的使用权限,所以就出现了上述问题,这个时候我们只需用winhttpcertcfg这个工具给指定账户授予使用证书的权限,就可以正常调用啦!

  • 相关阅读:
    [易学易懂系列|rustlang语言|零基础|快速入门|(18)|use关键词]
    [易学易懂系列|rustlang语言|零基础|快速入门|(17)|装箱crates]
    [易学易懂系列|rustlang语言|零基础|快速入门|(16)|代码组织与模块化]
    区块链行业访谈:《创世访谈录》
    波卡简介
    [易学易懂系列|rustlang语言|零基础|快速入门|(15)|Unit Testing单元测试]
    GIT分布式代码管理系统
    jenkins介绍及部署tomcat环境、部署Maven项目及密码忘记修改
    Docker安装、命令详情、层级架构、docker服务启动失败解决方法
    ELK日志分析系统部署
  • 原文地址:https://www.cnblogs.com/Alex80/p/4275057.html
Copyright © 2020-2023  润新知