不能将 HTTPS 与 ServerXMLHTTP 对象一起使用

Question

我支持通过 HTTPS 连接到支付网关的经典 ASP 应用程序。直到最近都没有问题。几天前，最新的更新安装在服务器 (Windows Server 2003) 上，导致网站崩溃。下面是一个代码 sn-p。

Dim oHttp
Dim strResult
Set oHttp = CreateObject("MSXML2.ServerXMLHTTP")
oHttp.setOption(2) = 13056
oHttp.open "POST", SOAP_ENDPOINT, false
oHttp.setRequestHeader "Content-Type", "application/soap+xml; charset=utf-8"
oHttp.setRequestHeader "SOAPAction", SOAP_NS + "/" & SOAP_FUNCTION
oHttp.send SOAP_REQUEST

下面是错误对象的转储：-

号码：-2147012852 描述：需要证书才能完成客户端身份验证 消息：需要证书才能完成客户端身份验证

起初我以为是因为支付网关的 SSL 证书没有经过身份验证，或者他们需要客户端证书。我在服务器上的浏览器中测试了该 URL，它正确显示且没有错误，并确认支付网关服务器不需要客户端证书。

我很茫然。我所做的所有研究都让我无处可去。我什至尝试了在 Stackoverflow 上找到的以下内容：-

Getting XMLHTTP to work with HTTPS

xmlHttp, XML request,asp

最后一个声明 XMLHTTP 需要客户端证书，即使服务器不需要它，并指出一篇关于如何安装的知识库文章，但那已经过时并且不起作用。

Answer 1

刚刚找到了已通过测试的解决方案：

• Windows 10 (IIS 10)
• Windows 2012 R2 (IIS 8.5)

这是一个客户问题。正如 OP 所指出的，MSXML2.ServerXMLHTTP 确实要求您在调用受 SSL 保护的端点时使用客户端证书（即使端点不需要它）。

在网络服务器上，您需要：

1. 创建客户端证书
2. 为证书分配权限
3. 在 ServerXMLHTTP 对象上设置证书

详细说明：

1.创建客户端证书

使用以下 PowerShell 命令创建新的自签名证书：

New-SelfSignedCertificate -DnsName "ServerXMLHTTP", "ServerXMLHTTP" -CertStoreLocation "cert:\LocalMachine\My"

请注意，此命令创建的证书仅有效期为 1 年。

2。为证书分配权限

使用 MMC，查看 计算机帐户 的证书存储： How to: View Certificates with the MMC Snap-in

上面创建的证书可以在 Certificates (Local Computer)\Personal\Certificates 中找到（“颁发者”和“颁发者”列显示“ServerXMLHTTP”）。

右击ServerXMLHTTP证书，选择“所有任务”->“管理私钥”，就会出现权限对话框。

添加运行 ASP 网站应用程序池的用户。默认情况下，它将作为“ApplicationPoolIdentity”运行，但您的设置可能使用特定的用户帐户。如果应用程序池使用 ApplicationPoolIdentity，则要添加的用户名是“IIS AppPool\APP POOL NAME”，例如IIS AppPool\DefaultAppPool

用户将被添加“完全控制”，可以取消选择。似乎只需要“读取”权限。点击“确定”确认权限。

3.在 ServerXMLHTTP 对象上设置证书

在您的 ASP 代码中，将 ServerXMLHTTP 对象设置为使用上面创建的证书。例如调用 PayPal 获取访问令牌：

Dim strAuthToken: strAuthToken = "<Base64 encoded version of ClientId:Secret>"
Dim oHttp: Set oHttp = Server.CreateObject("MSXML2.ServerXMLHTTP")

With oHttp
    Call .Open("POST", "https://api.sandbox.paypal.com/v1/oauth2/token", False)
    Call .SetOption(3, "LOCAL_MACHINE\My\ServerXMLHTTP")
    Call .SetRequestHeader("Content-Type", "application/x-www-form-urlencoded")
    Call .SetRequestHeader("Authorization", "Basic " & strAuthToken)
    Call .Send("grant_type=client_credentials")
End With

希望这仍然有帮助。

Answer 2

我知道这是一个老问题。此问题可能是由于不受支持的密码套件造成的。 尝试添加 - TLS_RSA_WITH_AES_128_CBC_SHA AES128-SHA - TLS_RSA_WITH_AES_256_CBC_SHA AES256-SHA

这意味着你必须关注这个知识库：http://support.microsoft.com/kb/948963 如果您仍在使用 Windows 2003，此更新也很有趣。这将允许使用 SHA2 连接到站点 - http://support.microsoft.com/kb/968730

请注意，Windows Server 2003 支持将于 2015 年 7 月 14 日结束

Answer 3

您可以尝试使用 oHttp.setOption(3) = "证书存储名称/证书的友好名称" 如下。我希望这会奏效。

Dim oHttp                    
Dim strResult 
Set oHttp = CreateObject("MSXML2.ServerXMLHTTP")
oHttp.setOption(2) = 13056
oHttp.setOption(3) = "certificate store name/friendlyname of certificate"
oHttp.open "POST", SOAP_ENDPOINT, false
oHttp.setRequestHeader "Content-Type", "application/soap+xml; charset=utf-8"
oHttp.setRequestHeader "SOAPAction", SOAP_NS + "/" & SOAP_FUNCTION
oHttp.send SOAP_REQUEST

Answer 4

尝试添加oHttp.setOption 2, 13056

Answer 5

这可能真的是 ServerFault.com 的问题，毕竟如果代码工作正常，那么它不是程序问题。

但是我会尝试几件事。首先尝试使用 ProgID“MSXML2.ServerXMLHTTP.3.0”，在某些情况下，MSXML3 的行为会有所不同，具体取决于用于实例化组件的 ProgID。此外，从您的防病毒供应商（Sophos 遇到此问题）等其他来源更新可能会破坏 MSXML 安装。

安装 MSXML6 后要尝试的另一个 ProgID 是“MSXML2.ServerXMLHTTP.6.0”。如果问题出在 MSXML3 核心的更新上，那么 MSXML6 核心可能没有同样的问题。