C＃忽略证书错误？C＃忽略证书错误？(C# Ignore certificate errors?)

2019-05-10 09:57发布

站内文章 / 后端开发

68 0

别忘想泡老子

女 | 书童

私信

我是一个Web服务请求到远程Web服务时得到以下错误：

无法为SSL / TLS安全通道的信任关系。 ---> System.Security.Authentication.AuthenticationException：远程证书根据验证过程是无效的。

反正有没有忽略这个错误，并继续吗？

看来远程证书未签名。

我连接到该网站是www.czebox.cz -可以随意访问该网站，甚至是浏览器抛出安全异常发现。

Answer 1:

添加证书验证处理程序。回到true将允许忽略验证错误：

ServicePointManager
    .ServerCertificateValidationCallback += 
    (sender, cert, chain, sslPolicyErrors) => true;

Answer 2:

IgnoreBadCertificates方法：

//I use a method to ignore bad certs caused by misc errors
IgnoreBadCertificates();

// after the Ignore call i can do what ever i want...
HttpWebRequest request_data = System.Net.WebRequest.Create(urlquerystring) as HttpWebRequest;

/*
and below the Methods we are using...
*/

/// <summary>
/// Together with the AcceptAllCertifications method right
/// below this causes to bypass errors caused by SLL-Errors.
/// </summary>
public static void IgnoreBadCertificates()
{
    System.Net.ServicePointManager.ServerCertificateValidationCallback = new System.Net.Security.RemoteCertificateValidationCallback(AcceptAllCertifications);
}  

/// <summary>
/// In Short: the Method solves the Problem of broken Certificates.
/// Sometime when requesting Data and the sending Webserverconnection
/// is based on a SSL Connection, an Error is caused by Servers whoes
/// Certificate(s) have Errors. Like when the Cert is out of date
/// and much more... So at this point when calling the method,
/// this behaviour is prevented
/// </summary>
/// <param name="sender"></param>
/// <param name="certification"></param>
/// <param name="chain"></param>
/// <param name="sslPolicyErrors"></param>
/// <returns>true</returns>
private static bool AcceptAllCertifications(object sender, System.Security.Cryptography.X509Certificates.X509Certificate certification, System.Security.Cryptography.X509Certificates.X509Chain chain, System.Net.Security.SslPolicyErrors sslPolicyErrors)
{
    return true;
}

Answer 3:

允许所有证书是很强大，但它也可能是危险的。如果您想只允许有效证件以及一些特定的证书，它可以这样做。

System.Net.ServicePointManager.ServerCertificateValidationCallback += delegate (
    object sender,
    X509Certificate cert,
    X509Chain chain,
    SslPolicyErrors sslPolicyErrors)
{
    if (sslPolicyErrors == SslPolicyErrors.None)
    {
        return true;   //Is valid
    }

    if (cert.GetCertHashString() == "99E92D8447AEF30483B1D7527812C9B7B3A915A7")
    {
        return true;
    }

    return false;
};

更新：

如何获得cert.GetCertHashString()在Chrome值：

点击Secure或Not Secure的地址栏中。

然后点击证书 - >详细信息 - >指纹和复制的价值。记得做cert.GetCertHashString().ToLower()

Answer 4:

它的失败的原因是不是因为它没有签名，但因为根证书不是由您的客户的信赖。而不是关掉SSL验证，另一种方法是将根CA证书添加到中科院您的应用程序信任列表。

这是根CA证书，您的应用目前不信任：

您可以解码并查看使用该证书

此证书解码器或另一解码器证书

Answer 5:

要禁用客户端配置SSL证书验证。

<behaviors>
   <endpointBehaviors>
      <behavior name="DisableSSLCertificateValidation">
         <clientCredentials>
             <serviceCertificate>
                <sslCertificateAuthentication certificateValidationMode="None" />
              </serviceCertificate>
           </clientCredentials>
        </behavior>

Answer 6:

此代码为我工作。我不得不添加TLS2因为那是什么网址我感兴趣的使用。

ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12;
ServicePointManager.ServerCertificateValidationCallback +=
    (sender, cert, chain, sslPolicyErrors) => { return true; };
using (var client = new HttpClient())
{
    client.BaseAddress = new Uri(UserDataUrl);
    client.DefaultRequestHeaders.Accept.Clear();
    client.DefaultRequestHeaders.Accept.Add(new
      MediaTypeWithQualityHeaderValue("application/json"));
    Task<string> response = client.GetStringAsync(UserDataUrl);
    response.Wait();

    if (response.Exception != null)
    {
         return null;
    }

    return JsonConvert.DeserializeObject<UserData>(response.Result);
}

Answer 7:

如果您是直接使用套接字和进行身份验证的客户，那么服务点经理回调方法将无法正常工作。这里就是我所做的工作。 请用于测试仅供参考 。

var activeStream = new SslStream(networkStream, false, (a, b, c, d) => { return true; });
await activeStream.AuthenticateAsClientAsync("computer.local");

这里的关键，是提供远程的证书验证回调就在SSL流的构造。

Answer 8:

要在BIGNUM的后进一步扩大 - 在理想情况下，你想一个解决方案，模拟你会看到条件的生产和修改代码不会那么做的，如果你忘了你在部署之前采取的代码了可能是危险的。

您将需要某种形式的自签名证书。如果你知道你在做什么，你可以使用二进制BIGNUM发布，但如果没有，你可以去打猎证书。如果您使用IIS表达，你将有其中的一个已经，你只需要找到它。无论浏览器打开Firefox或你喜欢的，去你的dev的网站。您应该能够从地址栏查看证书信息，并根据您的浏览器，你应该能够将证书导出到文件中。

接下来，打开MMC.EXE，并添加证书管理单元。导入您的证书文件到受信任的根证书颁发机构存储，这一切你应该需要。以确保进入该商店而不是其他店一样“个性化”这一点很重要。如果你不熟悉的MMC或证书，有许多网站提供信息如何做到这一点。

现在，您的计算机作为一个整体将毫无保留地信任，它已经产生本身的任何证书，您将不再需要添加代码来专门处理这个问题。当你移动到生产将继续努力，只要你有安装有一个适当的有效证书。不这样做在生产服务器上 - 这将是坏的，它不会比服务器本身以外的任何其他客户合作。

文章来源: C# Ignore certificate errors?