HttpClient 使用自签名证书调用 HTTPS WebApi

Question

在我们的开发阶段，我们创建了一个自签名证书，这意味着我有.cer 和.pfx 文件。当我们尝试调用 API 时，是否可以使用任何方法将上述文件嵌入 HTTPS 请求中，以便不是每个客户端都将证书安装到本地受信任的证书存储中。

这可能吗？我发现了一些 API，看起来我们可以这样做，但就是无法成功：

try
{
    var secure = new SecureString();
    foreach (char s in "password")
    {
        secure.AppendChar(s);
    }

    var handler = new WebRequestHandler();
    handler.ClientCertificateOptions = ClientCertificateOption.Manual;
    handler.UseProxy = false;

    var certificate = new X509Certificate2(@"C:\httpstest2.pfx", secure);
    handler.ClientCertificates.Add(certificate);

    using (var httpClient = new HttpClient(handler))
    {
        httpClient.BaseAddress = new Uri("https://www.abc.com");
        var foo = httpClient.GetStringAsync("api/value").Result;
        Console.WriteLine(foo);
    }
}
catch (Exception ex)
{
    Console.WriteLine(ex);
}

1. 是否需要使用X509Certificate 而不是X509Certificate2？
2. 如果我们从第三方公司购买真正的证书，我们是否可以不关心证书问题只通过验证异常？

Answer 1

您可以使用此代码忽略任何 SSL 错误

ServicePointManager.ServerCertificateValidationCallback += (sender, cert, chain, sslPolicyErrors) => true;

显然要确保它不会投入生产。

Answer 2

客户端只需要 .cer 文件中的公钥，该公钥在建立 https 连接时自动发送。但是客户端是否信任该证书并不是应该允许发送证书的服务器做出的决定。

您可以使用组策略将证书分发给您的客户端。详情请见http://technet.microsoft.com/en-us/library/cc770315(v=ws.10).aspx。