无法为具有权限“*”的 SSL/TLS 建立安全通道

Question

我必须使用具有 SSL 证书的 PHP 网络服务。我的 .net 3.5 类库在 Visualstudio 2010 中使用“添加服务引用”引用 Web 服务（WCF 对吗？）。

调用我收到的webservice的main方法时；

无法为具有权限“{base_url_of_WS}”的 SSL/TLS 建立安全通道。

我尝试了很多，比如

System.Net.ServicePointManager.ServerCertificateValidationCallback = new RemoteCertificateValidationCallback(CheckValidationResult); 
 public bool CheckValidationResult(Object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
    {
        return true;
    }

但这行不通。我还在自己的机器上安装了证书。

*额外信息；当我在“添加服务引用”中使用 wsdl 位置时，会发生相同的错误。在尝试之前，我使用的是静态 wsdl。

Answer 1

这正是我面临的问题。在其他一些文章中，我得到了更改配置的提示。对我来说这是可行的：

<bindings>
  <basicHttpBinding>
    <binding name="xxxBinding">
      <security mode="Transport">
        <transport clientCredentialType="Certificate"/>
      </security>
    </binding>
  </basicHttpBinding>
</bindings>

Answer 2

问题

我在从我的 ASP.NET Core MVC 项目调用第三方 API 时遇到了同样的错误消息。

无法为具有权限的 SSL/TLS 建立安全通道 '{base_url_of_WS}'。

解决方案

原来第三方 API 的服务器需要 TLS 1.2。为了解决这个问题，我在控制器的构造函数中添加了以下代码行：

System.Net.ServicePointManager.SecurityProtocol = System.Net.SecurityProtocolType.Tls12;

Answer 3

是的，不受信任的证书可能会导致这种情况。通过在浏览器中打开 websservice 来查看 webservice 的证书路径，然后使用浏览器工具查看证书路径。您可能需要在调用 Web 服务的计算机上安装一个或多个中间证书。当您进一步调查时，您可能会在浏览器中看到带有“安装证书”选项的“证书错误”——这可能是您缺少的证书。

我的特殊问题是 Geotrust Geotrust DV SSL CA 中间证书在 2010 年 7 月升级到他们的根服务器后丢失 https://knowledge.geotrust.com/support/knowledge-base/index?page=content&id=AR1422

（2020 更新此处保留了死链接：https://web.archive.org/web/20140724085537/https://knowledge.geotrust.com/support/knowledge-base/index?page=content&id=AR1422）

Answer 4

我们在从 .aspx 页面调用 Web 服务的新 Web 服务器上遇到了这个问题。我们没有向应用程序池用户授予机器证书的权限。在我们向应用程序池用户授予权限后，该问题已得到解决。

Answer 5

确保以管理员身份运行 Visual Studio。

Answer 6

如果它可以帮助其他人，使用新的Microsoft Web Service Reference Provider tool，它适用于 .NET Standard 和 .NET Core，我必须将以下行添加到绑定定义中，如下所示：

binding.Security.Mode = BasicHttpSecurityMode.Transport;
binding.Security.Transport = new HttpTransportSecurity{ClientCredentialType = HttpClientCredentialType.Certificate};

这实际上与 Micha 的答案相同，但在代码中因为没有配置文件。

因此，为了将绑定与 Web 服务的实例化结合起来，我这样做了：

 System.ServiceModel.BasicHttpBinding binding = new System.ServiceModel.BasicHttpBinding();
 binding.Security.Mode = System.ServiceModel.BasicHttpSecurityMode.Transport;
 binding.Security.Transport.ClientCredentialType = System.ServiceModel.HttpClientCredentialType.Certificate;
 var client = new WebServiceClient(binding, GetWebServiceEndpointAddress());

其中 WebServiceClient 是您定义的 Web 服务的正确名称。

Answer 7

出现这个错误的原因有很多，上次我通过修改Reference.svcmap文件，改变WSDL文件的引用方式解决了。

抛出异常：

<MetadataSource Address="C:\Users\Me\Repo\Service.wsdl" Protocol="file" SourceId="1" />
<MetadataFile FileName="Service.wsdl" ... SourceUrl="file:///C:/Users/Me/Repo/Service.wsdl" />

工作正常：

<MetadataSource Address="https://server.domain/path/Service.wsdl" Protocol="http" SourceId="1" />
<MetadataFile FileName="Service.wsdl" ... SourceUrl="https://server.domain/path/Service.wsdl" />

这看起来很奇怪，但我已经复制了它。这是 .NET 4.5 和 4.7 上的控制台应用程序，以及 4.7 上的 .NET WebAPI 站点。

Answer 8

这是为我解决的问题：

1) 确保您以管理员身份运行 Visual Studio

2) 安装并运行 winhttpcertcfg.exe 以授予访问权限

https://msdn.microsoft.com/en-us/library/windows/desktop/aa384088(v=vs.85).aspx

命令类似如下：（输入您的证书主题和服务名称）

winhttpcertcfg -g -c LOCAL_MACHINE\MY -s "certificate subject" -a "NetworkService"
winhttpcertcfg -g -c LOCAL_MACHINE\MY -s "certificate subject" -a "LOCAL SERVICE"
winhttpcertcfg -g -c LOCAL_MACHINE\MY -s "certificate subject" -a "My Apps Service Account"

Answer 9

代码有同样的错误：

X509Certificate2 mycert = new X509Certificate2(@"C:\certificate.crt");

加密码解决：

X509Certificate2 mycert = new X509Certificate2(@"C:\certificate.crt", "password");