С# Игнорировать ошибки сертификата?

Я получаю следующую ошибку во время запроса веб-службы к удаленной веб-службе:

Не удалось установить доверительные отношения для безопасного канала SSL/TLS. ---> System.Security.Authentication.AuthenticationException: удаленный сертификат недействителен в соответствии с процедурой проверки.

Есть ли способ игнорировать эту ошибку и продолжить?

Кажется, удаленный сертификат не подписан.

Сайт, к www.czebox.cz я подключаюсь, - www.czebox.cz - так что не стесняйтесь посещать сайт, и обратите внимание, что даже браузеры выдают исключения безопасности.

Ответ 1

Добавить обработчик проверки сертификата. Возврат true позволит игнорировать ошибку проверки:

ServicePointManager
    .ServerCertificateValidationCallback += 
    (sender, cert, chain, sslPolicyErrors) => true;

Ответ 2

Разрешение всех сертификатов очень эффективно, но это также может быть опасно. Если вы хотите разрешить только действительные сертификаты плюс некоторые определенные сертификаты, это можно сделать следующим образом.

System.Net.ServicePointManager.ServerCertificateValidationCallback += delegate (
    object sender,
    X509Certificate cert,
    X509Chain chain,
    SslPolicyErrors sslPolicyErrors)
{
    if (sslPolicyErrors == SslPolicyErrors.None)
    {
        return true;   //Is valid
    }

    if (cert.GetCertHashString() == "99E92D8447AEF30483B1D7527812C9B7B3A915A7")
    {
        return true;
    }

    return false;
};

Обновить:

Как получить значение cert.GetCertHashString() в Chrome:

Нажмите на Secure или Not Secure в адресной строке.

Затем нажмите Сертификат → Детали → Отпечаток и скопируйте значение. Не забудьте сделать cert.GetCertHashString().ToLower().

Ответ 3

Метод IgnoreBadCertificates:

//I use a method to ignore bad certs caused by misc errors
IgnoreBadCertificates();

// after the Ignore call i can do what ever i want...
HttpWebRequest request_data = System.Net.WebRequest.Create(urlquerystring) as HttpWebRequest;

/*
and below the Methods we are using...
*/

/// <summary>
/// Together with the AcceptAllCertifications method right
/// below this causes to bypass errors caused by SLL-Errors.
/// </summary>
public static void IgnoreBadCertificates()
{
    System.Net.ServicePointManager.ServerCertificateValidationCallback = new System.Net.Security.RemoteCertificateValidationCallback(AcceptAllCertifications);
}  

/// <summary>
/// In Short: the Method solves the Problem of broken Certificates.
/// Sometime when requesting Data and the sending Webserverconnection
/// is based on a SSL Connection, an Error is caused by Servers whoes
/// Certificate(s) have Errors. Like when the Cert is out of date
/// and much more... So at this point when calling the method,
/// this behaviour is prevented
/// </summary>
/// <param name="sender"></param>
/// <param name="certification"></param>
/// <param name="chain"></param>
/// <param name="sslPolicyErrors"></param>
/// <returns>true</returns>
private static bool AcceptAllCertifications(object sender, System.Security.Cryptography.X509Certificates.X509Certificate certification, System.Security.Cryptography.X509Certificates.X509Chain chain, System.Net.Security.SslPolicyErrors sslPolicyErrors)
{
    return true;
}

Ответ 4

Причина сбоя не в том, что он не подписан, а в том, что ваш клиент не доверяет корневому сертификату. Вместо того чтобы отключать проверку SSL, альтернативным подходом было бы добавить сертификат корневого ЦС в список ЦС, которым доверяет ваше приложение.

Это корневой сертификат CA, которому ваше приложение в настоящее время не доверяет:

Вы можете расшифровать и просмотреть этот сертификат, используя

этот декодер сертификатов или другой декодер сертификатов

Ответ 5

Отключить проверку сертификата ssl в конфигурации клиента.

<behaviors>
   <endpointBehaviors>
      <behavior name="DisableSSLCertificateValidation">
         <clientCredentials>
             <serviceCertificate>
                <sslCertificateAuthentication certificateValidationMode="None" />
              </serviceCertificate>
           </clientCredentials>
        </behavior>

Ответ 6

Этот код работал у меня. Мне пришлось добавить TLS2, потому что я использовал этот URL.

ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12;
ServicePointManager.ServerCertificateValidationCallback +=
    (sender, cert, chain, sslPolicyErrors) => { return true; };
using (var client = new HttpClient())
{
    client.BaseAddress = new Uri(UserDataUrl);
    client.DefaultRequestHeaders.Accept.Clear();
    client.DefaultRequestHeaders.Accept.Add(new
      MediaTypeWithQualityHeaderValue("application/json"));
    Task<string> response = client.GetStringAsync(UserDataUrl);
    response.Wait();

    if (response.Exception != null)
    {
         return null;
    }

    return JsonConvert.DeserializeObject<UserData>(response.Result);
}

Ответ 7

Если вы используете сокеты напрямую и аутентифицируетесь как клиент, тогда метод обратного вызова Service Point Manager не будет работать. Вот что для меня работало. ПОЖАЛУЙСТА, ИСПОЛЬЗУЙТЕ ТОЛЬКО ДЛЯ ИСПЫТАНИЯ ЦЕЛЕЙ.

var activeStream = new SslStream(networkStream, false, (a, b, c, d) => { return true; });
await activeStream.AuthenticateAsClientAsync("computer.local");

Ключевым моментом здесь является предоставление обратного вызова проверки удаленного сертификата прямо в конструкторе потока SSL.

Ответ 8

Bypass SSL Certificate....

        HttpClientHandler clientHandler = new HttpClientHandler();
        clientHandler.ServerCertificateCustomValidationCallback = (sender, cert, chain, sslPolicyErrors) => { return true; };

        // Pass the handler to httpclient(from you are calling api)
        var client = new HttpClient(clientHandler)

Ответ 9

Для дальнейшего расширения по столбцу BIGNUM. В идеале вы хотите, чтобы решение, которое будет имитировать условия, которые вы увидите в процессе производства, и изменение кода не будет делать этого и может быть опасным, если вы забудете взять код перед его развертыванием.

Вам понадобится самоподписанный сертификат. Если вы знаете, что делаете, вы можете использовать бинарный BIGNUM, но если нет, вы можете пойти на охоту за сертификатом. Если вы используете IIS Express, у вас будет один из них, вам просто нужно его найти. Откройте Firefox или любой другой браузер, который вам нравится, и перейдите на свой веб-сайт dev. Вы должны иметь возможность просматривать информацию сертификата из строки URL и в зависимости от вашего браузера вы должны иметь возможность экспортировать сертификат в файл.

Затем откройте MMC.exe и добавьте оснастку "Сертификат". Импортируйте файл сертификата в хранилище доверенных корневых центров сертификации и все, что вам нужно. Важно, чтобы он попал в этот магазин, а не в какой-нибудь другой магазин, например "Личный". Если вы не знакомы с MMC или сертификатами, есть многочисленные веб-сайты с информацией о том, как это сделать.

Теперь ваш компьютер в целом будет неявным образом доверять любым сертификатам, которые он сам создал, и вам не нужно будет добавлять код, чтобы справиться с этим специально. Когда вы перейдете к производству, он будет продолжать работать, если у вас есть правильный действующий сертификат, установленный там. Не делайте этого на производственном сервере - это было бы плохо, и оно не будет работать для других клиентов, кроме тех, которые есть на самом сервере.

Ответ 10

Это работает для .Net Core. Позвоните своему клиенту Soap:

client.ClientCredentials.ServiceCertificate.SslCertificateAuthentication =
                new X509ServiceCertificateAuthentication()
                {
                    CertificateValidationMode = X509CertificateValidationMode.None,
                    RevocationMode = X509RevocationMode.NoCheck
                };