Não foi possível estabelecer relação de confiança para o canal seguro SSL / TLS - SOAP

Eu tenho uma chamada de serviço da web simples, gerada por um aplicativo do Windows .NET (C #) 2.0, por meio do proxy de serviço da web gerado pelo Visual Studio, para um serviço da Web também escrito em C # (2.0). Isso funcionou por vários anos e continua a fazê-lo em cerca de uma dúzia de locais onde está sendo executado.

Uma nova instalação em um novo site está com problemas. Ao tentar chamar o serviço da web, ele falha com a mensagem dizendo:

Não foi possível estabelecer uma relação de confiança para o canal seguro SSL / TLS

A URL do serviço da web usa SSL (https: //) - mas isso funciona há muito tempo (e continua a fazê-lo) em muitos outros locais.

Onde eu olho? Esse problema de segurança entre o Windows e o .NET pode ser exclusivo desta instalação? Em caso afirmativo, onde eu estabeleço relações de confiança? Estou perdido!

Pensamentos (baseados na dor do passado):

• você tem DNS e linha de visão para o servidor?
• você está usando o nome correto do certificado?
• o certificado ainda é válido?
• um balanceador de carga mal configurado está atrapalhando as coisas?
• a nova máquina do servidor tem o relógio ajustado corretamente (ou seja, para que a hora UTC esteja correta [ignore a hora local, é em grande parte irrelevante]) - isso certamente é importante para o WCF, portanto pode afetar o SOAP normal?
• existe um problema de cadeia confiável de certificados? se você navegar do servidor para o serviço de sabão, você pode obter SSL?
• relacionado ao acima - o certificado foi instalado no local correto? (você pode precisar de uma cópia nas Autoridades de certificação raiz confiáveis)
• o proxy no nível da máquina do servidor está definido corretamente? (que diferente do proxy do usuário); veja proxycfg para XP / 2003 (não tenho certeza sobre o Vista etc)

Os seguintes trechos corrigirão o caso em que há algo errado com o certificado SSL no servidor que você está chamando. Por exemplo, pode ser autoassinado ou o nome do host entre o certificado e o servidor pode não corresponder.

Isso é perigoso se você estiver chamando um servidor fora de seu controle direto, pois não poderá mais ter certeza de que está falando com o servidor ao qual pensa estar conectado. No entanto, se você estiver lidando com servidores internos e obter um certificado "correto" não for prático, use o seguinte para dizer ao serviço da Web que ignore os problemas de certificado e continue bravamente.

Os dois primeiros usam expressões lambda, o terceiro usa código regular. O primeiro aceita qualquer certificado. Os dois últimos, pelo menos, verificam se o nome do host no certificado é o que você espera.
... espero que você ache útil

//Trust all certificates
System.Net.ServicePointManager.ServerCertificateValidationCallback =
    ((sender, certificate, chain, sslPolicyErrors) => true);

// trust sender
System.Net.ServicePointManager.ServerCertificateValidationCallback
                = ((sender, cert, chain, errors) => cert.Subject.Contains("YourServerName"));

// validate cert by calling a function
ServicePointManager.ServerCertificateValidationCallback += new RemoteCertificateValidationCallback(ValidateRemoteCertificate);

// callback used to validate the certificate in an SSL conversation
private static bool ValidateRemoteCertificate(object sender, X509Certificate cert, X509Chain chain, SslPolicyErrors policyErrors)
{
    bool result = cert.Subject.Contains("YourServerName");
    return result;
}

A solução muito simples "pegar tudo" é esta:

System.Net.ServicePointManager.ServerCertificateValidationCallback = delegate { return true; };

A solução de sebastian-castaldi é um pouco mais detalhada.

Pessoalmente, gosto mais da seguinte solução:

using System.Security.Cryptography.X509Certificates;
using System.Net.Security;

... antes de solicitar a obtenção do erro, faça o seguinte

System.Net.ServicePointManager.ServerCertificateValidationCallback = delegate(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors) { return true; };

Encontrei isso depois de consultar a Solução de Lucas

Se você estiver usando o Windows 2003, pode tentar o seguinte:

Abra o Console de Gerenciamento Microsoft (Iniciar -> Executar -> mmc.exe);

Escolha Arquivo -> Adicionar / Remover Snap-in;

Na guia Independente, escolha Adicionar;

Escolha o snap-in Certificados e clique em Adicionar;

No assistente, escolha a conta do computador e, em seguida, escolha computador local. Pressione Concluir para finalizar o assistente;

Feche a caixa de diálogo Adicionar / remover snap-in;

Navegue para Certificados (Computador Local) e escolha uma loja para importar:

Se você possui o certificado de CA raiz da empresa que emitiu o certificado, escolha Autoridades de certificação raiz confiáveis;

Se você possui o certificado para o próprio servidor, escolha Outras Pessoas

Clique com o botão direito do mouse na loja e escolha Todas as Tarefas -> Importar

Siga o assistente e forneça o arquivo de certificado que você possui;

Depois disso, basta reiniciar o IIS e tente chamar o serviço da web novamente.

Referência: http://www.outsystems.com/NetworkForums/ViewTopic.aspx?Topic=Web-Services:-Could-not-establish-trust-relationship-for-the-SSL/TLS- ...

Se você não deseja confiar cegamente em todos e criar uma exceção de confiança apenas para determinados hosts, a solução a seguir é mais apropriada.

public static class Ssl
{
    private static readonly string[] TrustedHosts = new[] {
      "host1.domain.com", 
      "host2.domain.com"
    };

    public static void EnableTrustedHosts()
    {
      ServicePointManager.ServerCertificateValidationCallback = 
      (sender, certificate, chain, errors) =>
      {
        if (errors == SslPolicyErrors.None)
        {
          return true;
        }

        var request = sender as HttpWebRequest;
        if (request != null)
        {
          return TrustedHosts.Contains(request.RequestUri.Host);
        }

        return false;
      };
    }
}

Em seguida, basta ligar para Ssl.EnableTrustedHosts quando o aplicativo iniciar.

Luke escreveu um artigo muito bom sobre isso .. bastante direto .. faça uma tentativa

Solução de Lucas

Motivo (citação de seu artigo (menos xingamentos)) ".. O problema com o código acima é que ele não funciona se o seu certificado não for válido. Por que eu estaria postando em uma página da Web com um certificado SSL inválido? Sou barato e não estava com vontade de pagar à Verisign ou a uma das outras ** - * s por um certificado para minha caixa de teste, então eu o assinei.Quando enviei a solicitação, recebi uma exceção adorável:

System.Net.WebException A conexão subjacente foi fechada. Não foi possível estabelecer relação de confiança com o servidor remoto.

Eu não sei sobre você, mas para mim essa exceção parecia algo que seria causado por um erro bobo no meu código que estava causando a falha do POST. Então eu continuei pesquisando, aprimorando e fazendo todo tipo de coisas estranhas. Somente depois que pesquisei no *** n, descobri que o comportamento padrão após encontrar um certificado SSL inválido é lançar essa mesma exceção. .. "

A Ferramenta de diagnóstico SSL da Microsoft pode ajudar a identificar o problema.

ATUALIZAÇÃO o link foi corrigido agora.

Acabei de encontrar esse problema. Minha resolução foi atualizar a hora do sistema sincronizando manualmente com os servidores de hora. Para fazer isso, você pode:

• Clique com o botão direito do mouse no relógio na barra de tarefas
• Selecione Adjust Date/Time
• Selecione a Internet Timeguia
• Clique Change Settings
• Selecione Update Now

No meu caso, isso estava sincronizando incorretamente, então tive que clicar nele várias vezes antes de atualizar corretamente. Se a atualização continuar incorreta, você pode tentar usar um servidor de horário diferente no menu suspenso do servidor.

Tente o seguinte:

System.Net.ServicePointManager.SecurityProtocol = System.Net.SecurityProtocolType.Tls12;

Observe que você precisa trabalhar pelo menos com o 4.5 .NET framework

Eu tive um problema semelhante no .NETaplicativo no Internet Explorer.

Resolvi o problema de adicionar o certificado (certificado VeriSign Classe 3 no meu caso) a certificados de editores confiáveis.

Go to Internet Options-> Content -> Publishers and import it

Você pode obter o certificado se exportá-lo de:

Internet Options-> Content -> Certificates -> Intermediate Certification Authorities -> VeriSign Class 3 Public Primary Certification Authority - G5

obrigado

Eu tive esse erro sendo executado em um servidor web com URL como:

a.b.domain.com

mas não havia certificado para isso, então recebi um DNS chamado

a_b.domain.com

Basta dar uma dica para essa solução aqui, pois ela apareceu no topo do google.

Para aqueles que estão enfrentando esse problema pelo lado do cliente VS, uma vez que adicionaram uma referência de serviço com êxito e tentaram executar a primeira chamada, receberam esta exceção: "A conexão subjacente foi fechada: não foi possível estabelecer relação de confiança para o canal seguro SSL / TLS" você está usando (como no meu caso) um URL de terminal com o endereço IP e recebeu essa exceção, provavelmente precisará adicionar novamente a referência de serviço, executando estas etapas:

• Abra o URL do terminal no Internet Explorer.
• Clique no erro de certificado (ícone vermelho na barra de endereços)
• Clique em Exibir certificados.
• Pegue o emitido para: "name" e substitua o endereço IP ou qualquer outro nome que estávamos usando e obtendo o erro para esse "name".

Tente novamente :). obrigado

No meu caso, eu estava tentando testar o SSL no meu ambiente do Visual Studio usando o IIS 7.

Isto é o que acabei fazendo para fazê-lo funcionar:

• No meu site, na seção 'Ligações ...' à direita no IIS, tive que adicionar a ligação 'https' à porta 443 e selecionar "Certificado de Desenvolvimento do IIS Express".

• No meu site, na seção 'Configurações avançadas ...' à direita, tive que alterar os 'Protocolos ativados' de "http" para "https".

• Sob o ícone 'Configurações SSL', selecione 'Aceitar' para certificados de cliente.

• Então eu tive que reciclar o pool de aplicativos.

• Eu também tive que importar o certificado de host local para minha loja pessoal usando o mmc.exe.

Meu web.configarquivo já estava configurado corretamente, então, depois de ter resolvido tudo o que foi dito acima, pude continuar meus testes.

Minha solução (VB.Net, a versão "temporária" (UAT) desse aplicativo precisa trabalhar com o certificado "temporária", mas não afeta as solicitações quando elas estão no site ativo:

    ...
        Dim url As String = ConfigurationManager.AppSettings("APIURL") & "token"
        If url.ToLower().Contains("staging") Then
           System.Net.ServicePointManager.ServerCertificateValidationCallback = AddressOf AcceptAllCertifications
        End If
    ...

    Private  Function AcceptAllCertifications(ByVal sender As Object, ByVal certification As System.Security.Cryptography.X509Certificates.X509Certificate, ByVal chain As System.Security.Cryptography.X509Certificates.X509Chain, ByVal sslPolicyErrors As System.Net.Security.SslPolicyErrors) As Boolean
        Return True
    End Function

Se não funcionar com um certificado inválido, quando ServerCertificateValidationCallback retornar true; Código My ServerCertificateValidationCallback:

ServicePointManager.ServerCertificateValidationCallback += delegate
{
    LogWriter.LogInfo("Проверка сертификата отключена, на уровне ServerCertificateValidationCallback");
    return true;
};

Meu código que impediu executar ServerCertificateValidationCallback:

     if (!(ServicePointManager.CertificatePolicy is CertificateValidation))
    {
        CertificateValidation certValidate = new CertificateValidation();
        certValidate.ValidatingError += new CertificateValidation.ValidateCertificateEventHandler(this.OnValidateCertificateError);
        ServicePointManager.CertificatePolicy = certValidate;
    }

Função OnValidateCertificateError:

private void OnValidateCertificateError(object sender, CertificateValidationEventArgs e)
{
    string msg = string.Format(Strings.OnValidateCertificateError, e.Request.RequestUri, e.Certificate.GetName(), e.Problem, new Win32Exception(e.Problem).Message);
    LogWriter.LogError(msg);
    //Message.ShowError(msg);
}

Desabilitei o código CertificateValidation e ServerCertificateValidationCallback executando muito bem