C# Ignorer les erreurs de certificat?

J'obtiens l'erreur suivante lors d'une demande de service web un service web distant:

N'a pas pu établir une relation de confiance pour le canal sécurisé SSL/TLS. ---> Système.De sécurité.L'authentification.AuthenticationException: La télécommande certificat n'est pas valide selon la procédure de validation.

Est-il de toute façon à ignorer cette erreur, et continuer?

Il semble que la distance certificat n'est pas signé.

Le site, je me suis connecter est www.czebox.cz - alors n'hésitez pas à visiter le site, et de l'avis même des navigateurs jeter les exceptions à la sécurité.

InformationsquelleAutor JL. | 2010-04-20
  1. 304

    Ajouter un certificat de validation de gestionnaire. De retour true va permettre d'ignorer l'erreur de validation:

    ServicePointManager
    .ServerCertificateValidationCallback += 
    (sender, cert, chain, sslPolicyErrors) => true;
    • C'est d'autant plus utile qu'il n'y paraît au premier abord. J'ai couru dans le cas des OP problème lors de l'utilisation Géré Échangé des Web Services (EWS). Je pensais que je ne pouvais pas utiliser cette réponse étant donné que je n'ai pas accès au faible niveau des appels SOAP qui étaient faites par la bibliothèque gérée. Mais quand j'ai pris un autre regard sur elle, j'ai réalisé ServicePointManager se dresse sur son propre. Donc,j'ai ajouté ci-dessus de rappel avant l'initialisation de l'ExchangeService et cela a fonctionné comme un charme.
    • J'ai eu une auto-signé le protocole SSL pour des tests internes, autant je vois c'est ignorer les erreurs, tout a été très difficile à trouver sans guide!
    • oui, un certificat auto-signé (puisqu'il n'est pas intrinsèquement un certificat de confiance) ne passera pas la validation du certificat. De retour true dans le rappel ignorer les erreurs de validation, permettant ainsi à des appels sur le site en utilisant le certificat non approuvé pour terminer.
    • Voici un exemple de la façon d'appliquer la dérivation à l'échelle mondiale. Pour nous tous dans de mauvaises pratiques. (Parfois, vous n'avez pas le choix) jasig.275507.n4.nabble.com/...
    • Je vais avoir ce problème, mais en .net de base. ServicePointManager n'est pas pris en charge dans .net de base
    • ils ont effectivement mis en œuvre la ServerCertificateCustomValidationCallback dans la 4.1 révision (voir les 2-3 dernières observations sur la question github.com/dotnet/corefx/issues/4476)
    • un grand merci à vous cela résout le problème temporairement. Ajoutez ce code au Démarrage.cs dans l'Api Web
    • était presque à renoncer à cette solution pour mon API EWS problème, mais ensuite j'ai vu votre commentaire.
    • Quelqu'un peut-il poster le code complet extrait de l'aide de ServicePointManger code pour faire une demande?
    • vous n'êtes pas à l'aide de ServicePointManager directement faire la demande, vous utilisez l'Api client comme HttpClient ou HttpWebRequest pour que. Il ya beaucoup d'échantillons sur ceux là.
    • vous êtes libre de downvote, bien sûr, mais gardez à l'esprit, ni la question ni la réponse de discuter de la question de la sécurité de cette. Le sujet est explicitement "comment ignorer l'erreur de validation", pas "pourquoi devrions-nous le faire/ne pas faire cela", qui est un autre sujet ensemble. Entrer dans une discussion sur les raisons de l'OP ne devrait pas, elle ne ferait que brouiller les pistes, comme les commentateurs l'ont souligné il existe des cas où vous avez réellement aurait ce faire. Nous avons donc coller au sujet et de résoudre le problème.

    InformationsquelleAutor Peter Lillevold
  2. 28

    IgnoreBadCertificates Méthode:

    //I use a method to ignore bad certs caused by misc errors
IgnoreBadCertificates();

//after the Ignore call i can do what ever i want...
HttpWebRequest request_data = System.Net.WebRequest.Create(urlquerystring) as HttpWebRequest;

/*
and below the Methods we are using...
*/

///<summary>
///Together with the AcceptAllCertifications method right
///below this causes to bypass errors caused by SLL-Errors.
///</summary>
public static void IgnoreBadCertificates()
{
    System.Net.ServicePointManager.ServerCertificateValidationCallback = new System.Net.Security.RemoteCertificateValidationCallback(AcceptAllCertifications);
}  

///<summary>
///In Short: the Method solves the Problem of broken Certificates.
///Sometime when requesting Data and the sending Webserverconnection
///is based on a SSL Connection, an Error is caused by Servers whoes
///Certificate(s) have Errors. Like when the Cert is out of date
///and much more... So at this point when calling the method,
///this behaviour is prevented
///</summary>
///<param name="sender"></param>
///<param name="certification"></param>
///<param name="chain"></param>
///<param name="sslPolicyErrors"></param>
///<returns>true</returns>
private static bool AcceptAllCertifications(object sender, System.Security.Cryptography.X509Certificates.X509Certificate certification, System.Security.Cryptography.X509Certificates.X509Chain chain, System.Net.Security.SslPolicyErrors sslPolicyErrors)
{
    return true;
}
    • J'ai dû ajouter une ligne supplémentaire à obtenir que cela fonctionne avec mon code (je suis en utilisant websocket4net). Système.Net.ServicePointManager.CheckCertificateRevocationList = false; à Droite après la création du serveur cert validation de rappel.
    • Merci de fournir un code complet de l'exemple qui a été parfaitement clair et facile à comprendre et à mettre en œuvre. Ce doit être la accepté de répondre.
    InformationsquelleAutor Amen Ra
  3. 26

    Permettant à tous les certificats est très puissant, mais il pouvait aussi être dangereux. Si vous souhaitez autoriser uniquement les certificats valides en plus de certains de certains certificats qu'il pourrait être fait de cette manière.

    System.Net.ServicePointManager.ServerCertificateValidationCallback += delegate (
    object sender,
    X509Certificate cert,
    X509Chain chain,
    SslPolicyErrors sslPolicyErrors)
{
    if (sslPolicyErrors == SslPolicyErrors.None)
    {
        return true;   //Is valid
    }

    if (cert.GetCertHashString() == "99E92D8447AEF30483B1D7527812C9B7B3A915A7")
    {
        return true;
    }

    return false;
};

    Mise à jour:

    Comment obtenir cert.GetCertHashString() valeur dans google Chrome:

    Cliquez sur Secure ou Not Secure dans la barre d'adresse.

    C# Ignorer les erreurs de certificat?

    C# Ignorer les erreurs de certificat?

    Puis cliquez sur Certificat -> Détails -> Empreinte et la copie de la valeur. N'oubliez pas de faire cert.GetCertHashString().ToLower().

    C# Ignorer les erreurs de certificat?

    • Cela devrait être accepté réponse, juste un peu plus de travail mais beaucoup moins dangereuse. merci!
    • Tout à fait d'accord. Cela permet d'ignorer la vérification de (espérons-le) d'un ou de deux certificats sans compromettre la sécurité complètement.
    • Comment puis-je obtenir Hash String à partir d'un cert?
    • Soit déboguer le code et l'exécuter cert.GetCertHashString() de Immediate window ou vérifier cert Thumbprint dans votre navigateur ou MMC si elle est installée localement.
    • La meilleure réponse. Merci @Ogglas
    InformationsquelleAutor Ogglas
  4. 24

    La raison de l'échec ce n'est pas parce qu'il n'est pas signé, mais parce que le certificat racine n'est pas la confiance de votre client. Plutôt que de désactiver SSL de validation, une approche alternative serait d'ajouter le certificat racine CA cert à la liste des autorités de certification de votre application fiducies.

    C'est l'autorité de certification racine cert que votre application ne dispose actuellement pas confiance:

    -----BEGIN CERTIFICATE-----
MIIFnDCCBISgAwIBAgIBZDANBgkqhkiG9w0BAQsFADBbMQswCQYDVQQGEwJDWjEs
MCoGA1UECgwjxIxlc2vDoSBwb8WhdGEsIHMucC4gW0nEjCA0NzExNDk4M10xHjAc
BgNVBAMTFVBvc3RTaWdudW0gUm9vdCBRQ0EgMjAeFw0xMDAxMTkwODA0MzFaFw0y
NTAxMTkwODA0MzFaMFsxCzAJBgNVBAYTAkNaMSwwKgYDVQQKDCPEjGVza8OhIHBv
xaF0YSwgcy5wLiBbScSMIDQ3MTE0OTgzXTEeMBwGA1UEAxMVUG9zdFNpZ251bSBS
b290IFFDQSAyMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoFz8yBxf
2gf1uN0GGXknvGHwurpp4Lw3ZPWZB6nEBDGjSGIXK0Or6Xa3ZT+tVDTeUUjT133G
7Vs51D6z/ShWy+9T7a1f6XInakewyFj8PT0EdZ4tAybNYdEUO/dShg2WvUyfZfXH
0jmmZm6qUDy0VfKQfiyWchQRi/Ax6zXaU2+X3hXBfvRMr5l6zgxYVATEyxCfOLM9
a5U6lhpyCDf2Gg6dPc5Cy6QwYGGpYER1fzLGsN9stdutkwlP13DHU1Sp6W5ywtfL
owYaV1bqOOdARbAoJ7q8LO6EBjyIVr03mFusPaMCOzcEn3zL5XafknM36Vqtdmqz
iWR+3URAUgqE0wIDAQABo4ICaTCCAmUwgaUGA1UdHwSBnTCBmjAxoC+gLYYraHR0
cDovL3d3dy5wb3N0c2lnbnVtLmN6L2NybC9wc3Jvb3RxY2EyLmNybDAyoDCgLoYs
aHR0cDovL3d3dzIucG9zdHNpZ251bS5jei9jcmwvcHNyb290cWNhMi5jcmwwMaAv
oC2GK2h0dHA6Ly9wb3N0c2lnbnVtLnR0Yy5jei9jcmwvcHNyb290cWNhMi5jcmww
gfEGA1UdIASB6TCB5jCB4wYEVR0gADCB2jCB1wYIKwYBBQUHAgIwgcoagcdUZW50
byBrdmFsaWZpa292YW55IHN5c3RlbW92eSBjZXJ0aWZpa2F0IGJ5bCB2eWRhbiBw
b2RsZSB6YWtvbmEgMjI3LzIwMDBTYi4gYSBuYXZhem55Y2ggcHJlZHBpc3UvVGhp
cyBxdWFsaWZpZWQgc3lzdGVtIGNlcnRpZmljYXRlIHdhcyBpc3N1ZWQgYWNjb3Jk
aW5nIHRvIExhdyBObyAyMjcvMjAwMENvbGwuIGFuZCByZWxhdGVkIHJlZ3VsYXRp
b25zMBIGA1UdEwEB/wQIMAYBAf8CAQEwDgYDVR0PAQH/BAQDAgEGMB0GA1UdDgQW
BBQVKYzFRWmruLPD6v5LuDHY3PDndjCBgwYDVR0jBHwweoAUFSmMxUVpq7izw+r+
S7gx2Nzw53ahX6RdMFsxCzAJBgNVBAYTAkNaMSwwKgYDVQQKDCPEjGVza8OhIHBv
xaF0YSwgcy5wLiBbScSMIDQ3MTE0OTgzXTEeMBwGA1UEAxMVUG9zdFNpZ251bSBS
b290IFFDQSAyggFkMA0GCSqGSIb3DQEBCwUAA4IBAQBeKtoLQKFqWJEgLNxPbQNN
5OTjbpOTEEkq2jFI0tUhtRx//6zwuqJCzfO/KqggUrHBca+GV/qXcNzNAlytyM71
fMv/VwgL9gBHTN/IFIw100JbciI23yFQTdF/UoEfK/m+IFfirxSRi8LRERdXHTEb
vwxMXIzZVXloWvX64UwWtf4Tvw5bAoPj0O1Z2ly4aMTAT2a+y+z184UhuZ/oGyMw
eIakmFM7M7RrNki507jiSLTzuaFMCpyWOX7ULIhzY6xKdm5iQLjTvExn2JTvVChF
Y+jUu/G0zAdLyeU4vaXdQm1A8AEiJPTd0Z9LAxL6Sq2iraLNN36+NyEK/ts3mPLL

-----END CERTIFICATE-----

    Vous pouvez décoder et afficher ce certificat à l'aide de

    ce certificat décodeur ou un autre certificat décodeur

    • Oui! C'est mon cas , mais comment puis-je ajouter le certificat sur Azure, sans une VM? Puis-je utiliser le X509Store API? Je vais essayer ça demain, mais toute info est la bienvenue ici
    InformationsquelleAutor bignum
  5. 6

    Pour désactiver ssl cert validation de la configuration du client.

    <behaviors>
   <endpointBehaviors>
      <behavior name="DisableSSLCertificateValidation">
         <clientCredentials>
             <serviceCertificate>
                <sslCertificateAuthentication certificateValidationMode="None" />
              </serviceCertificate>
           </clientCredentials>
        </behavior>
    InformationsquelleAutor d.marzo
  6. 5

    Ce code a fonctionné pour moi. J'ai dû ajouter TLS2 parce que c'est ce que l'URL je suis intéressé en a été à l'aide.

    ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12;
ServicePointManager.ServerCertificateValidationCallback +=
    (sender, cert, chain, sslPolicyErrors) => { return true; };
using (var client = new HttpClient())
{
    client.BaseAddress = new Uri(UserDataUrl);
    client.DefaultRequestHeaders.Accept.Clear();
    client.DefaultRequestHeaders.Accept.Add(new
      MediaTypeWithQualityHeaderValue("application/json"));
    Task<string> response = client.GetStringAsync(UserDataUrl);
    response.Wait();

    if (response.Exception != null)
    {
         return null;
    }

    return JsonConvert.DeserializeObject<UserData>(response.Result);
}
    • Merci, ça a fonctionné.
    InformationsquelleAutor user2347528
  7. 2

    Si vous êtes à l'aide de sockets directement et sont l'authentification du client, le Service Gestionnaire de Point de la méthode de rappel ne fonctionne pas. Voici ce qui a fonctionné pour moi. VEUILLEZ UTILISER POUR DES FINS DE TEST UNIQUEMENT.

    var activeStream = new SslStream(networkStream, false, (a, b, c, d) => { return true; });
await activeStream.AuthenticateAsClientAsync("computer.local");

    La clé ici est de fournir la distance de validation de certificat de rappel à droite dans le constructeur de la flux SSL.

    InformationsquelleAutor Mario
  8. 1

    Continuer de développer BIGNUM de l'après - Idéalement, vous voulez une solution qui permettra de simuler les conditions que vous verrez dans la production et la modification de votre code ne sera pas le faire et il pourrait être dangereux si vous oubliez de prendre le code avant de le déployer.

    Vous aurez besoin d'un certificat auto-signé d'une certaine sorte. Si vous savez ce que vous faites, vous pouvez utiliser le binaire BIGNUM posté, mais si pas, vous pouvez aller à la chasse pour le certificat. Si vous utilisez IIS Express, vous avez l'un de ces, vous aurez juste à le trouver. Ouvrez Firefox ou quelque soit le navigateur que vous aimez et aller à votre site web dev. Vous devriez être en mesure d'afficher les informations du certificat à partir de la barre d'URL, et, selon votre navigateur, vous devriez être en mesure d'exporter le certificat dans un fichier.

    Ensuite, ouvrez MMC.exe et ajoutez le composant logiciel enfichable Certificats. Importer votre fichier de certificat dans la Confiance des Autorités de certification Racine de magasin et c'est tout ce dont vous aurez besoin. Il est important de s'assurer qu'il va dans ce magasin et pas sur un autre magasin comme "Personnels". Si vous n'êtes pas familier avec MMC ou des certificats, il existe de nombreux sites web avec des informations sur comment faire cela.

    Maintenant, votre ordinateur, dans l'ensemble, implicitement confiance tous les certificats qu'il a généré lui-même et vous n'aurez pas besoin d'ajouter du code pour gérer ce spécialement. Lorsque vous vous déplacez à la production qu'il continuera à travailler si vous avez un bon certificat valide qui y est installé. Ne pas le faire sur un serveur de production - ce qui serait mauvais et il ne fonctionnera pas pour tous les autres clients autres que ceux qui sont sur le serveur lui-même.

    InformationsquelleAutor Nigel Thomas
  9. 0
    Bypass SSL Certificate....

        HttpClientHandler clientHandler = new HttpClientHandler();
        clientHandler.ServerCertificateCustomValidationCallback = (sender, cert, chain, sslPolicyErrors) => { return true; };

        //Pass the handler to httpclient(from you are calling api)
        var client = new HttpClient(clientHandler)
    InformationsquelleAutor Rohit Jangid