Question

在对远程Web服务的Web服务请求期间，我收到以下错误：

无法为SSL / TLS安全通道建立信任关系。 ---＆GT; System.Security.Authentication.AuthenticationException：根据验证过程，远程证书无效。

无论如何都要忽略此错误，并继续？

远程证书似乎没有签名。

我连接的网站是www.czebox.cz - 所以请随时访问该网站，并注意甚至浏览器都会抛出安全例外。

Answer 1

添加证书验证处理程序。返回true将允许忽略验证错误：

ServicePointManager
    .ServerCertificateValidationCallback += 
    (sender, cert, chain, sslPolicyErrors) => true;

Answer 2

IgnoreBadCertificates方法：

//I use a method to ignore bad certs caused by misc errors
IgnoreBadCertificates();

// after the Ignore call i can do what ever i want...
HttpWebRequest request_data = System.Net.WebRequest.Create(urlquerystring) as HttpWebRequest;

/*
and below the Methods we are using...
*/

/// <summary>
/// Together with the AcceptAllCertifications method right
/// below this causes to bypass errors caused by SLL-Errors.
/// </summary>
public static void IgnoreBadCertificates()
{
    System.Net.ServicePointManager.ServerCertificateValidationCallback = new System.Net.Security.RemoteCertificateValidationCallback(AcceptAllCertifications);
}  

/// <summary>
/// In Short: the Method solves the Problem of broken Certificates.
/// Sometime when requesting Data and the sending Webserverconnection
/// is based on a SSL Connection, an Error is caused by Servers whoes
/// Certificate(s) have Errors. Like when the Cert is out of date
/// and much more... So at this point when calling the method,
/// this behaviour is prevented
/// </summary>
/// <param name="sender"></param>
/// <param name="certification"></param>
/// <param name="chain"></param>
/// <param name="sslPolicyErrors"></param>
/// <returns>true</returns>
private static bool AcceptAllCertifications(object sender, System.Security.Cryptography.X509Certificates.X509Certificate certification, System.Security.Cryptography.X509Certificates.X509Chain chain, System.Net.Security.SslPolicyErrors sslPolicyErrors)
{
    return true;
}

Answer 3

允许所有证书非常强大，但也可能是危险的。如果您只想允许有效证书加上某些证书，可以这样做。

System.Net.ServicePointManager.ServerCertificateValidationCallback += delegate (
    object sender,
    X509Certificate cert,
    X509Chain chain,
    SslPolicyErrors sslPolicyErrors)
{
    if (sslPolicyErrors == SslPolicyErrors.None)
    {
        return true;   //Is valid
    }

    if (cert.GetCertHashString() == "99E92D8447AEF30483B1D7527812C9B7B3A915A7")
    {
        return true;
    }

    return false;
};

<强>更新

如何在Chrome中获得cert.GetCertHashString()值：

点击地址栏中的Secure或Not Secure。

然后点击证书 - ＆gt;详细信息 - ＆gt;指纹和复制值。记得做cert.GetCertHashString().ToLower()。

Answer 4

它失败的原因不是因为它没有签名，而是因为客户端不信任根证书。而不是关闭SSL验证，另一种方法是将根CA证书添加到您的应用信任的CA列表中。

这是您的应用当前不信任的根CA证书：

您可以使用

解码和查看此证书

this certificate decoder或another certificate decoder

Answer 5

在客户端配置中禁用ssl证书验证。

<behaviors>
   <endpointBehaviors>
      <behavior name="DisableSSLCertificateValidation">
         <clientCredentials>
             <serviceCertificate>
                <sslCertificateAuthentication certificateValidationMode="None" />
              </serviceCertificate>
           </clientCredentials>
        </behavior>

Answer 6

这段代码对我有用。我不得不添加TLS2，因为这就是我感兴趣的URL所使用的。

ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12;
ServicePointManager.ServerCertificateValidationCallback +=
    (sender, cert, chain, sslPolicyErrors) => { return true; };
using (var client = new HttpClient())
{
    client.BaseAddress = new Uri(UserDataUrl);
    client.DefaultRequestHeaders.Accept.Clear();
    client.DefaultRequestHeaders.Accept.Add(new
      MediaTypeWithQualityHeaderValue("application/json"));
    Task<string> response = client.GetStringAsync(UserDataUrl);
    response.Wait();

    if (response.Exception != null)
    {
         return null;
    }

    return JsonConvert.DeserializeObject<UserData>(response.Result);
}

Answer 7

如果您直接使用套接字并作为客户端进行身份验证，则Service Point Manager回调方法将不起作用。这对我有用。 请仅用于测试目的。

var activeStream = new SslStream(networkStream, false, (a, b, c, d) => { return true; });
await activeStream.AuthenticateAsClientAsync("computer.local");

这里的关键是在SSL流的构造函数中提供远程证书验证回调权。

Answer 8

进一步扩展BIGNUM的帖子 - 理想情况下，你想要一个能够模拟你将在生产和修改代码中看到的条件的解决方案不会这样做，如果你在部署代码之前忘记取出代码可能会很危险

您需要某种自签名证书。如果您知道自己在做什么，可以使用已发布的二进制BIGNUM，但如果不知道，您可以去寻找证书。如果你正在使用IIS Express，你将拥有其中一个，你只需要找到它。打开Firefox或您喜欢的任何浏览器，然后转到您的开发网站。您应该能够从URL栏查看证书信息，并且根据您的浏览器，您应该能够将证书导出到文件中。

接下来，打开MMC.exe，然后添加“证书”管理单元。将您的证书文件导入受信任的根证书颁发机构商店，这就是您应该需要的。重要的是要确保它进入该商店，而不是像“个人”这样的其他商店。如果您不熟悉MMC或证书，则有许多网站都会提供有关如何执行此操作的信息。

现在，您的计算机作为一个整体将隐式信任它自己生成的任何证书，您不需要添加代码来专门处理它。当您转到生产时，如果您在那里安装了正确的有效证书，它将继续工作。不要在生产服务器上执行此操作 - 这样做会很糟糕，除了服务器本身以外的任何其他客户端都不会这样做。

Answer 9

Bypass SSL Certificate....

        HttpClientHandler clientHandler = new HttpClientHandler();
        clientHandler.ServerCertificateCustomValidationCallback = (sender, cert, chain, sslPolicyErrors) => { return true; };

        // Pass the handler to httpclient(from you are calling api)
        var client = new HttpClient(clientHandler)

Answer 10

这适用于.Net Core。致电您的Soap客户：

client.ClientCredentials.ServiceCertificate.SslCertificateAuthentication =
                new X509ServiceCertificateAuthentication()
                {
                    CertificateValidationMode = X509CertificateValidationMode.None,
                    RevocationMode = X509RevocationMode.NoCheck
                };

Answer 11

较旧，但仍可以帮助...

实现相同行为的另一种好方法是通过配置文件（web.config）

 <system.net>
    <settings>
      <servicePointManager checkCertificateName="false" checkCertificateRevocationList="false" />
    </settings>
  </system.net>

注意：已在.net完整版上进行了测试。

C＃忽略证书错误？

11 个答案: