No se pudo establecer una relación de confianza para el canal seguro SSL / TLS - SOAP

Tengo una llamada de servicio web simple, generada por una aplicación de Windows .NET (C #) 2.0, a través del proxy de servicio web generado por Visual Studio, para un servicio web también escrito en C # (2.0). Esto ha funcionado durante varios años, y continúa haciéndolo en la docena de lugares donde se está ejecutando.

Una nueva instalación en un nuevo sitio se encuentra con un problema. Al intentar invocar el servicio web, falla con el mensaje que dice:

No se pudo establecer una relación de confianza para el canal seguro SSL / TLS

La URL del servicio web utiliza SSL (https: //), pero esto ha estado funcionando durante mucho tiempo (y continúa haciéndolo) desde muchas otras ubicaciones.

Donde miro ¿Podría ser un problema de seguridad entre Windows y .NET que sea exclusivo de esta instalación? Si es así, ¿dónde configuro relaciones de confianza? ¡Estoy perdido!

Pensamientos (basados ​​en el dolor en el pasado):

• ¿tiene DNS y línea de visión para el servidor?
• ¿Está utilizando el nombre correcto del certificado?
• ¿El certificado sigue siendo válido?
• ¿Un equilibrador de carga mal configurado está estropeando las cosas?
• ¿la nueva máquina del servidor tiene el reloj configurado correctamente (es decir, para que la hora UTC sea correcta [ignore la hora local, es en gran medida irrelevante]) - esto ciertamente es importante para WCF, por lo que puede afectar el SOAP regular?
• ¿Hay algún problema con la cadena de confianza del certificado? si navega desde el servidor al servicio de telenovelas, ¿puede obtener SSL?
• relacionado con lo anterior: ¿se ha instalado el certificado en la ubicación correcta? (es posible que necesite una copia en las autoridades de certificación raíz de confianza)
• ¿está configurado correctamente el proxy de nivel de máquina del servidor? (que es diferente al proxy del usuario); ver proxycfg para XP / 2003 (no estoy seguro acerca de Vista, etc.)

Los siguientes fragmentos solucionarán el caso de que haya algo mal con el certificado SSL en el servidor al que está llamando. Por ejemplo, puede estar autofirmado o el nombre de host entre el certificado y el servidor puede no coincidir.

Esto es peligroso si está llamando a un servidor fuera de su control directo, ya que ya no puede estar tan seguro de estar hablando con el servidor al que cree que está conectado. Sin embargo, si está tratando con servidores internos y obtener un certificado "correcto" no es práctico, use lo siguiente para indicarle al servicio web que ignore los problemas del certificado y continúe valientemente.

Los dos primeros usan expresiones lambda, el tercero usa código regular. El primero acepta cualquier certificado. Los dos últimos al menos verifican que el nombre de host en el certificado sea el que espera.
... espero que te sea útil

//Trust all certificates
System.Net.ServicePointManager.ServerCertificateValidationCallback =
    ((sender, certificate, chain, sslPolicyErrors) => true);

// trust sender
System.Net.ServicePointManager.ServerCertificateValidationCallback
                = ((sender, cert, chain, errors) => cert.Subject.Contains("YourServerName"));

// validate cert by calling a function
ServicePointManager.ServerCertificateValidationCallback += new RemoteCertificateValidationCallback(ValidateRemoteCertificate);

// callback used to validate the certificate in an SSL conversation
private static bool ValidateRemoteCertificate(object sender, X509Certificate cert, X509Chain chain, SslPolicyErrors policyErrors)
{
    bool result = cert.Subject.Contains("YourServerName");
    return result;
}

La solución muy simple de "capturar todo" es esta:

System.Net.ServicePointManager.ServerCertificateValidationCallback = delegate { return true; };

La solución de sebastian-castaldi es un poco más detallada.

Personalmente, me gusta más la siguiente solución:

using System.Security.Cryptography.X509Certificates;
using System.Net.Security;

... luego, antes de solicitar el error, haga lo siguiente

System.Net.ServicePointManager.ServerCertificateValidationCallback = delegate(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors) { return true; };

Encontré esto después de consultar la solución de Luke

Si está utilizando Windows 2003, puede intentar esto:

Abra Microsoft Management Console (Inicio -> Ejecutar -> mmc.exe);

Elija Archivo -> Agregar / Eliminar complemento;

En la pestaña Independiente, elija Agregar;

Elija el complemento Certificados y haga clic en Agregar;

En el asistente, elija la cuenta de la computadora y luego elija la computadora local. Presione Finalizar para finalizar el asistente;

Cierre el cuadro de diálogo Agregar o quitar complemento;

Vaya a Certificados (equipo local) y elija una tienda para importar:

Si tiene el certificado de CA raíz para la compañía que emitió el certificado, elija Autoridades confiables de certificación raíz;

Si tiene el certificado para el servidor, elija Otras personas

Haga clic derecho en la tienda y elija Todas las tareas -> Importar

Siga al asistente y proporcione el archivo de certificado que tiene;

Después de eso, simplemente reinicie IIS e intente llamar al servicio web nuevamente.

Referencia: http://www.outsystems.com/NetworkForums/ViewTopic.aspx?Topic=Web-Services:-Could-not-establish-trust-relationship-for-the-SSL/TLS- ...

Si no desea confiar ciegamente en todos y hacer una excepción de confianza solo para ciertos hosts, la siguiente solución es más adecuada.

public static class Ssl
{
    private static readonly string[] TrustedHosts = new[] {
      "host1.domain.com", 
      "host2.domain.com"
    };

    public static void EnableTrustedHosts()
    {
      ServicePointManager.ServerCertificateValidationCallback = 
      (sender, certificate, chain, errors) =>
      {
        if (errors == SslPolicyErrors.None)
        {
          return true;
        }

        var request = sender as HttpWebRequest;
        if (request != null)
        {
          return TrustedHosts.Contains(request.RequestUri.Host);
        }

        return false;
      };
    }
}

Luego simplemente llame a Ssl.EnableTrustedHosts cuando se inicie su aplicación.

Luke escribió un artículo bastante bueno sobre esto ... bastante sencillo ... pruébalo

La solución de Luke

Motivo (cita de su artículo (menos maldición)) ".. El problema con el código anterior es que no funciona si su certificado no es válido. ¿Por qué estaría publicando en una página web con un certificado SSL no válido? Porque Soy barato y no tenía ganas de pagarle a Verisign o uno de los otros ** - * s por un certificado en mi caja de prueba, así que lo firmé. Cuando envié la solicitud, recibí una hermosa excepción:

System.Net.WebException La conexión subyacente se cerró. No se pudo establecer una relación de confianza con el servidor remoto.

No sé sobre usted, pero para mí esa excepción parecía algo que sería causado por un error tonto en mi código que estaba causando que fallara la POST. Así que seguí buscando, ajustando y haciendo todo tipo de cosas raras. Solo después de buscar en Google lo *** n descubrí que el comportamiento predeterminado después de encontrar un certificado SSL no válido es lanzar esta misma excepción. .. "

Herramienta de diagnóstico SSL de Microsoft puede ayudar a identificar el problema.

ACTUALIZAR el enlace se ha solucionado ahora.

Acabo de encontrar este problema. Mi resolución fue actualizar la hora del sistema sincronizándola manualmente con los servidores de hora. Para hacer esto puedes:

• Haga clic derecho en el reloj en la barra de tareas
• Seleccione Adjust Date/Time
• Selecciona el Internet Time pestaña
• Hacer clic Change Settings
• Seleccione Update Now

En mi caso, esto se estaba sincronizando incorrectamente, así que tuve que hacer clic varias veces antes de que se actualizara correctamente. Si continúa actualizándose incorrectamente, incluso puede intentar usar un servidor horario diferente del desplegable del servidor.

Prueba esto:

System.Net.ServicePointManager.SecurityProtocol = System.Net.SecurityProtocolType.Tls12;

Tenga en cuenta que debe trabajar al menos con 4.5 .NET framework

Tuve un problema similar en la .NETaplicación en Internet Explorer.

Resolví el problema agregando el certificado (certificado VeriSign Clase 3 en mi caso) a certificados de editores de confianza.

Go to Internet Options-> Content -> Publishers and import it

Puede obtener el certificado si lo exporta desde:

Internet Options-> Content -> Certificates -> Intermediate Certification Authorities -> VeriSign Class 3 Public Primary Certification Authority - G5

Gracias

Tuve este error ejecutándose contra un servidor web con URL como:

a.b.domain.com

pero no había certificado para ello, así que recibí un DNS llamado

a_b.domain.com

Solo estoy dando una pista a esta solución aquí, ya que esto apareció en Google.

Para aquellos que tienen este problema a través del lado del cliente VS, una vez que agregaron con éxito una referencia de servicio y trataron de ejecutar la primera llamada obtuvieron esta excepción: "La conexión subyacente se cerró: no se pudo establecer una relación de confianza para el canal seguro SSL / TLS" Si está utilizando (como mi caso) una URL de punto final con la dirección IP y obtuvo esta excepción, entonces probablemente deba volver a agregar la referencia de servicio siguiendo estos pasos:

• Abra la URL del punto final en Internet Explorer.
• Haga clic en el error del certificado (icono rojo en la barra de direcciones)
• Haga clic en Ver certificados.
• Tome el emitido a: "nombre" y reemplace la dirección IP o cualquier nombre que estemos usando y obtenga el error para este "nombre".

Inténtalo de nuevo :). Gracias

En mi caso, estaba tratando de probar SSL en mi entorno de Visual Studio usando IIS 7.

Esto es lo que terminé haciendo para que funcione:

• En mi sitio, en la sección 'Enlaces ...' a la derecha en IIS, tuve que agregar el enlace 'https' al puerto 443 y seleccionar "Certificado de desarrollo de IIS Express".

• En mi sitio, en la sección 'Configuración avanzada ...' a la derecha, tuve que cambiar los 'Protocolos habilitados' de "http" a "https".

• Debajo del icono 'Configuración de SSL', seleccioné 'Aceptar' para los certificados de cliente.

• Luego tuve que reciclar el grupo de aplicaciones.

• También tuve que importar el certificado de host local en mi tienda personal usando mmc.exe.

Mi web.configarchivo ya estaba configurado correctamente, así que después de resolver todo lo anterior, pude continuar con mis pruebas.

Mi solución (VB.Net, la versión "provisional" (UAT) de esta aplicación debe funcionar con el certificado "provisional" pero no afectar las solicitudes una vez que están en el sitio activo):

    ...
        Dim url As String = ConfigurationManager.AppSettings("APIURL") & "token"
        If url.ToLower().Contains("staging") Then
           System.Net.ServicePointManager.ServerCertificateValidationCallback = AddressOf AcceptAllCertifications
        End If
    ...

    Private  Function AcceptAllCertifications(ByVal sender As Object, ByVal certification As System.Security.Cryptography.X509Certificates.X509Certificate, ByVal chain As System.Security.Cryptography.X509Certificates.X509Chain, ByVal sslPolicyErrors As System.Net.Security.SslPolicyErrors) As Boolean
        Return True
    End Function

Si no funciona mal sertificate, cuando ServerCertificateValidationCallback devuelve verdadero; Mi código de ServerCertificateValidationCallback:

ServicePointManager.ServerCertificateValidationCallback += delegate
{
    LogWriter.LogInfo("Проверка сертификата отключена, на уровне ServerCertificateValidationCallback");
    return true;
};

Mi código que impidió ejecutar ServerCertificateValidationCallback:

     if (!(ServicePointManager.CertificatePolicy is CertificateValidation))
    {
        CertificateValidation certValidate = new CertificateValidation();
        certValidate.ValidatingError += new CertificateValidation.ValidateCertificateEventHandler(this.OnValidateCertificateError);
        ServicePointManager.CertificatePolicy = certValidate;
    }

Función OnValidateCertificateError:

private void OnValidateCertificateError(object sender, CertificateValidationEventArgs e)
{
    string msg = string.Format(Strings.OnValidateCertificateError, e.Request.RequestUri, e.Certificate.GetName(), e.Problem, new Win32Exception(e.Problem).Message);
    LogWriter.LogError(msg);
    //Message.ShowError(msg);
}

Deshabilité el código CertificateValidation y ServerCertificateValidationCallback funcionando muy bien