从IIS托管的应用程序通过SSL访问Web服务时出错

时间:2013-02-20 07:24:51

标签: c# wcf iis certificate

这一直困扰着我三天,经过大量的谷歌搜索,我决定发一个问题。我有一个WCF服务应用程序(“本地服务”),它安全地连接到“远程Web服务”(Java)(双向证书身份验证)。

我的服务端配置:

<system.serviceModel>
  <bindings>
      <basicHttpBinding>
          <binding name="IhAdapterPortBinding" closeTimeout="00:01:00"
              openTimeout="00:01:00" receiveTimeout="00:10:00" sendTimeout="00:01:00"
              allowCookies="false" bypassProxyOnLocal="false" hostNameComparisonMode="StrongWildcard"
              maxBufferSize="65536" maxBufferPoolSize="524288" maxReceivedMessageSize="65536"
              messageEncoding="Text" textEncoding="utf-8" transferMode="Buffered"
              useDefaultWebProxy="true">
              <readerQuotas maxDepth="32" maxStringContentLength="8192" maxArrayLength="16384"
                  maxBytesPerRead="4096" maxNameTableCharCount="16384" />
              <security mode="Transport">
                  <transport clientCredentialType="Certificate" proxyCredentialType="None"
                      realm="" />
                  <message clientCredentialType="UserName" algorithmSuite="Default" />
              </security>
          </binding>              
      </basicHttpBinding>
  </bindings>
  <client>
      <endpoint address="https://someserver.com:8085/IhAdapter" binding="basicHttpBinding"
          bindingConfiguration="IhAdapterPortBinding" contract="IHAdapter.IhAdapter"
          name="IhAdapterPort" behaviorConfiguration="IHAdapterEndpointBehavior" />       
  </client>
<services>
  <service name="SomeCompany.SomeService">
    <endpoint address="" binding="basicHttpBinding"
      contract="SomeCompany.ISomeService" />
  </service>
</services>
<behaviors>
  <endpointBehaviors>
    <behavior name="IHAdapterEndpointBehavior">
             <clientCredentials>
                  <clientCertificate storeLocation="LocalMachine" storeName="My" findValue="123...abc" x509FindType="FindByThumbprint"/>
                  <serviceCertificate>
                       <authentication certificateValidationMode="None" revocationMode="NoCheck"/>
                  </serviceCertificate>
             </clientCredentials>
        </behavior>
  </endpointBehaviors>
  <serviceBehaviors>
    <behavior name="">
      <serviceMetadata httpGetEnabled="true" />
      <serviceDebug includeExceptionDetailInFaults="true" />
    </behavior>
  </serviceBehaviors>
</behaviors>
<serviceHostingEnvironment aspNetCompatibilityEnabled="true" multipleSiteBindingsEnabled="true" />

现在问题。在Visual Studio Web Development Server中托管服务或从本地测试客户端(.exe)调用远程服务时,调用成功。但是当本地服务是IIS托管的(localhost或其他一些服务器IIS)时,我得到例外:

无法为具有权限“https://someserver.com:8085

的SSL / TLS建立安全通道

内部异常:

请求已中止:无法创建SSL / TLS安全通道。

到目前为止我尝试或检查的内容:

  • 正确的证书库位置(本地计算机,而非用户)
  • 私钥权限(转到MMC,找到证书,右键单击,所有任务,管理私钥,设置为对所有人的所有权限)
  • 将IIS应用程序用户(Connect As)设置为具有管理权限的本地用户

还有一件事:当前的远程服务器证书是针对另一个主机名发出的,所以我必须以编程方式覆盖验证。因此,要在本地服务中创建远程服务对象,我有以下代码行:

ServicePointManager.Expect100Continue = true;
ServicePointManager.SecurityProtocol = SecurityProtocolType.Ssl3;
ServicePointManager.ServerCertificateValidationCallback = ((senderParam, certificate, chain, sslPolicyErrors) => true);

IHAdapter.IhAdapterClient ihAdapter = new IHAdapter.IhAdapterClient();

ihAdapter.SomeMethod(parameters); // the exception gets thrown here

我还能错过什么?任何想法,指针?

2 个答案:

答案 0 :(得分:4)

好的,回答我自己的问题。

基于此链接:How to give ASP.NET access to a private key in a certificate in the certificate store? 我解决了我的问题。

我的解决方案的关键是这个检查清单:

  1. 创建/购买证书。确保它有私钥。
  2. 将证书导入“本地计算机”帐户。最好使用证书MMC。 请务必选中“允许私钥” 导出的“
  3. 基于此,IIS 7.5应用程序池的标识使用以下之一:
    • IIS 7.5网站在ApplicationPoolIdentity下运行。使用证书MMC,在“本地计算机\个人”中的证书上将“IIS AppPool \ AppPoolName”添加到完全信任。将“AppPoolName”替换为应用程序池的名称。
    • IIS 7.5网站在NETWORK SERVICE下运行。使用证书MMC,在“本地计算机\个人”中的证书上将“网络服务”添加到完全信任。
    • IIS 7.5网站在“MyIISUser”本地计算机用户帐户下运行。使用证书MMC,在“本地计算机\个人”中的证书上将“MyIISUser”(新的本地计算机用户帐户)添加到“完全信任”。

    4. 我几乎肯定做了所有这些事情,但显然从来没有一起完成。希望这有助于其他人。无论如何,谢谢你的帮助。

答案 1 :(得分:0)

我认为所有这些消息都是由于链中的某些机器(客户端,代理服务器,服务器)因某种原因而不“喜欢”证书。

要详细说明twk所说的内容,如果您使用自签名证书或您自己的CA,则需要至少在服务器上的受信任机构存储中安装签名证书,并且可能在代理上安装。 / p>

我遇到的常见问题:

  • 服务器上的证书未由PROXY或CLIENT信任的权限签署
  • 客户端上的证书未由PROXY或SERVER信任的机构签名
  • 糟糕,我在创建要在客户端上安装的证书时忘记导出私钥
  • 我的进程对客户端上的私钥没有读取权限
  • 客户端证书受密码保护,我在阅读证书时未指定凭据。

更多访问Could not create SSL/TLS secure channel - Could the problem be a proxy server?

相关问题
最新问题