获取"根据验证程序"远程证书无效。当SMPT服务器具有有效证书时

时间:2014-09-29 15:50:36

标签: c# email ssl smtpclient client-certificates

这似乎是一个常见的错误,但是当我找到一个解决方法(见下文)时,我无法确定我首先得到它的原因。

我正在将SMTP功能写入我们的应用程序,并且我正在尝试将SSL功能添加到我们已有的工作SMTP中。

我正在测试使用我们公司的MS Exchange服务器,特别是在其上启用的webmail选项。我可以通过我的代码在内部发送电子邮件,不通过身份验证我的连接并匿名发送,但是由于我们公司的政策,这些电子邮件不会转发到外部电子邮件地址。除此之外,我正在为我们的客户编程,他们并不都允许开放中继和/或匿名连接。

我相信Exchange服务器正在使用显式SSL / TLS。我已尝试telnet到端口25上的服务器地址并获得文本响应,人类可读的响应,根据我以前的一些搜索意味着它使用显式SSL / TLS。

我有以下测试代码

SmtpClient SMTPClient = new SmtpClient(webmailaddress);
SMTPClient.Port = 25;
SMTPClient.UseDefaultCredentials = true;
SMTPClient.EnableSsl = true;
System.Net.Mail.MailMessage Message = new `
System.Net.Mail.MailMessage(emailFrom,emailTo,subject,body);
SMTPClient.Send(Message);

在搜索解决方案期间,我遇到了"The remote certificate is invalid according to the validation procedure." using Gmail SMTP server

我从中得到以下代码...... 

ServicePointManager.ServerCertificateValidationCallback = new RemoteCertificateValidationCallback(ValidateServerCertificate);

public static bool ValidateServerCertificate(object sender,X509Certificate certificate,X509Chain chain,SslPolicyErrors sslPolicyErrors)
{
    if (sslPolicyErrors == SslPolicyErrors.None)
        return true;
    else
    {
        if (System.Windows.Forms.MessageBox.Show("The server certificate is not valid.\nAccept?", "Certificate Validation", System.Windows.Forms.MessageBoxButtons.YesNo, System.Windows.Forms.MessageBoxIcon.Question) == System.Windows.Forms.DialogResult.Yes)
            return true;
        else
            return false;
    }
}

这适用于我的测试代码。然而,我正在编写的实际过程(而不是我的测试代码)将在后台运行,并且无法真正询问用户(而是报告Windows错误日志中的错误)。

当我开始时,我的问题就是为什么我会得到这个错误。如果我在浏览器中访问https:webmail.ourdomain.co.uk,它会显示一个有效的证书,并且没有选项来安装证书(正如我自己签署的那样)。

Certificate Screenshot 但是当我运行我的代码时,在ValidateServerCertificate方法中使用调试中断,我查看证书值并查看本地服务器的发行者并且“之前不使用”和“不使用之后”属性今天。这与我得到的证书不符。

我还检查了ValidateServerCertificate调试中的sslPolicyErrors标志,它们显示“RemoteCertificateChainErrors”和“RemoteCertificateNameMismatch”。

那么我对此缺少什么...为什么它没有使用正确的证书?如果我需要在本地安装证书才能使用它,那么我需要了解它们,这样我就可以告诉客户如果能得到这个,该怎么做。

我不想通过从ValidateServerCertificate方法返回true来绕过检查,并且因为它是后台进程我不能问用户,所以我需要了解如何让我的代码使用正确/可信的证书。

希望有人可以提供建议。

3 个答案:

答案 0 :(得分:7)

我最终发现的答案是服务器上的SMTP服务没有使用与https相同的证书。

diagnostic steps I had read here假设他们使用相同的证书,并且每次我在过去尝试过它们时都已经完成了,诊断步骤正是我为解决问题所做的几次。< / p>

在这种情况下,这些步骤不起作用,因为使用的证书不同,而且这种可能性是我从未遇到过的。

解决方案是从服务器导出实际证书,然后在我的计算机上将其作为可信证书安装,或者为服务器上的SMTP服务获取不同的有效/可信证书。目前,我们的IT部门负责管理服务器以决定他们想要做什么。

答案 1 :(得分:2)

旧帖但正如你所说&#34;为什么它没有使用正确的证书&#34;我想提供一种方法来找出哪个SSL证书用于SMTP(参见here)哪个需要openssl:

  

openssl s_client -connect exchange01.int.contoso.com:25 -starttls smtp

这将概述SMTP服务使用的SSL证书。根据您在此处看到的内容,您可以使用正确的证书替换错误的证书(就像您已经做过的那样)(或者手动信任证书)。

答案 2 :(得分:0)

旧帖子,但我想我会分享我的解决方案,因为这个问题没有很多解决方案。

如果您正在运行旧的Windows Server 2003计算机,则可能需要安装修补程序(KB938397)。

  

出现此问题是因为Windows中的加密API 2(CAPI2)   Server 2003不支持SHA2哈希算法系列。   CAPI2是处理证书的Cryptography API的一部分。

https://support.microsoft.com/en-us/kb/938397

无论出于何种原因,Microsoft都希望通过电子邮件向您发送此修补程序,而不是允许您直接下载。这是从电子邮件直接链接到修补程序:

http://hotfixv4.microsoft.com/Windows Server 2003/sp3/Fix200653/3790/free/315159_ENU_x64_zip.exe

相关问题
最新问题