Tôi đang thực hiện một dự án cần kết nối với trang https. Mỗi khi tôi kết nối, mã của tôi ném ra ngoại lệ vì chứng chỉ của trang web đó đến từ trang web không đáng tin cậy. Có cách nào để bỏ qua kiểm tra chứng chỉ trong http .net core không?
Tôi đã thấy mã này từ phiên bản .NET trước. Tôi đoán tôi chỉ cần một cái gì đó như thế này.
ServicePointManager.ServerCertificateValidationCallback += (sender, cert, chain, sslPolicyErrors) => true;
Câu trả lời:
ServicePointManager.ServerCertificateValidationCallback không được hỗ trợ trong .Net Core.
Tình hình hiện tại là nó sẽ là một phương thức ServerCertificateCustomValidationCallback mới cho 4.1. * System.Net.Http hợp đồng (HttpClient) sắp tới. .NET Core hiện đang hoàn thiện hợp đồng 4.1. Bạn có thể đọc về điều này tại đây trên github
Bạn có thể dùng thử phiên bản phát hành trước của System.Net.Http 4.1 bằng cách sử dụng các nguồn trực tiếp tại đây trong CoreFx hoặc trên nguồn cấp dữ liệu MYGET: https://dotnet.myget.org/gallery/dotnet-core
Định nghĩa WinHttpHandler.ServerCertificateCustomValidationCallback hiện tại trên Github
Cập nhật:
Như đã đề cập bên dưới, không phải tất cả các triển khai đều hỗ trợ gọi lại này (tức là các nền tảng như iOS). Trong trường hợp này, như tài liệu nói, bạn có thể đặt trình xác thực một cách rõ ràng:
handler.ServerCertificateCustomValidationCallback = HttpClientHandler.DangerousAcceptAnyServerCertificateValidator;
Điều này cũng hoạt động cho .NET Core 2.2, 3.0 và 3.1
Câu trả lời cũ , có nhiều quyền kiểm soát hơn nhưng có thể ném PlatformNotSupportedException:
Bạn có thể ghi đè kiểm tra chứng chỉ SSL trên cuộc gọi HTTP bằng chức năng gọi lại ẩn danh như thế này
using (var httpClientHandler = new HttpClientHandler())
{
httpClientHandler.ServerCertificateCustomValidationCallback = (message, cert, chain, errors) => { return true; };
using (var client = new HttpClient(httpClientHandler))
{
// Make your request...
}
}
Ngoài ra, tôi khuyên bạn nên sử dụng factory pattern HttpClientvì nó là một đối tượng dùng chung có thể không được xử lý ngay lập tức và do đó các kết nối sẽ vẫn mở .
HttpClienttính được gọi là DangerousAcceptAnyServerCertificateValidatorcung cấp một cách để làm cho điều này hoạt động trên MacOSX. Thông tin thêm tại đây - github.com/dotnet/corefx/pull/19908
factory patterncho HttpClient?
GetHttpClientPhương thức trả về cấu hình HttpClientvà sử dụng nó trong một using-block.
Tôi giải quyết vấn đề này:
Startup.cs
public void ConfigureServices(IServiceCollection services)
{
services.AddHttpClient("HttpClientWithSSLUntrusted").ConfigurePrimaryHttpMessageHandler(() => new HttpClientHandler
{
ClientCertificateOptions = ClientCertificateOption.Manual,
ServerCertificateCustomValidationCallback =
(httpRequestMessage, cert, cetChain, policyErrors) =>
{
return true;
}
});
YourService.cs
public UserService(IHttpClientFactory clientFactory, IOptions<AppSettings> appSettings)
{
_appSettings = appSettings.Value;
_clientFactory = clientFactory;
}
var request = new HttpRequestMessage(...
var client = _clientFactory.CreateClient("HttpClientWithSSLUntrusted");
HttpResponseMessage response = await client.SendAsync(request);
Đến đây để tìm câu trả lời cho cùng một vấn đề, nhưng tôi đang sử dụng WCF cho NET Core. Nếu bạn ở cùng thuyền, hãy sử dụng:
client.ClientCredentials.ServiceCertificate.SslCertificateAuthentication =
new X509ServiceCertificateAuthentication()
{
CertificateValidationMode = X509CertificateValidationMode.None,
RevocationMode = X509RevocationMode.NoCheck
};
Trong .NetCore, bạn có thể thêm đoạn mã sau tại phương pháp cấu hình dịch vụ, tôi đã thêm một kiểm tra để đảm bảo rằng chúng tôi chỉ vượt qua chứng chỉ SSL trong môi trường phát triển mà thôi
services.AddHttpClient("HttpClientName", client => {
// code to configure headers etc..
}).ConfigurePrimaryHttpMessageHandler(() => {
var handler = new HttpClientHandler();
if (hostingEnvironment.IsDevelopment())
{
handler.ServerCertificateCustomValidationCallback = (message, cert, chain, errors) => { return true; };
}
return handler;
});
Tôi đã gặp phải vấn đề tương tự khi làm việc với chứng chỉ tự ký và xác thực chứng chỉ ứng dụng khách trên các vùng chứa .NET Core 2.2 và Docker Linux. Mọi thứ hoạt động tốt trên máy Windows dev của tôi, nhưng trong Docker, tôi gặp lỗi như vậy:
System.Security.Authentication.AuthenticationException: Chứng chỉ từ xa không hợp lệ theo quy trình xác thực
May mắn thay, chứng chỉ được tạo bằng chuỗi. Tất nhiên, bạn luôn có thể bỏ qua giải pháp này và sử dụng các giải pháp trên.
Vì vậy, đây là giải pháp của tôi:
Tôi đã lưu chứng chỉ bằng Chrome trên máy tính của mình ở định dạng P7B .
Chuyển đổi chứng chỉ sang định dạng PEM bằng lệnh này:
openssl pkcs7 -inform DER -outform PEM -in <cert>.p7b -print_certs > ca_bundle.crt
Mở tệp ca_bundle.crt và xóa tất cả các bản ghi Chủ đề, để lại một tệp sạch. Ví dụ bên dưới:
-----BEGIN CERTIFICATE-----
_BASE64 DATA_
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
_BASE64 DATA_
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
_BASE64 DATA_
-----END CERTIFICATE-----
# Update system and install curl and ca-certificates
RUN apt-get update && apt-get install -y curl && apt-get install -y ca-certificates
# Copy your bundle file to the system trusted storage
COPY ./ca_bundle.crt /usr/local/share/ca-certificates/ca_bundle.crt
# During docker build, after this line you will get such output: 1 added, 0 removed; done.
RUN update-ca-certificates
var address = new EndpointAddress("https://serviceUrl");
var binding = new BasicHttpsBinding
{
CloseTimeout = new TimeSpan(0, 1, 0),
OpenTimeout = new TimeSpan(0, 1, 0),
ReceiveTimeout = new TimeSpan(0, 1, 0),
SendTimeout = new TimeSpan(0, 1, 0),
MaxBufferPoolSize = 524288,
MaxBufferSize = 65536,
MaxReceivedMessageSize = 65536,
TextEncoding = Encoding.UTF8,
TransferMode = TransferMode.Buffered,
UseDefaultWebProxy = true,
AllowCookies = false,
BypassProxyOnLocal = false,
ReaderQuotas = XmlDictionaryReaderQuotas.Max,
Security =
{
Mode = BasicHttpsSecurityMode.Transport,
Transport = new HttpTransportSecurity
{
ClientCredentialType = HttpClientCredentialType.Certificate,
ProxyCredentialType = HttpProxyCredentialType.None
}
}
};
var client = new MyWSClient(binding, address);
client.ClientCredentials.ClientCertificate.Certificate = GetClientCertificate("clientCert.pfx", "passwordForClientCert");
// Client certs must be installed
client.ClientCredentials.ServiceCertificate.SslCertificateAuthentication = new X509ServiceCertificateAuthentication
{
CertificateValidationMode = X509CertificateValidationMode.ChainTrust,
TrustedStoreLocation = StoreLocation.LocalMachine,
RevocationMode = X509RevocationMode.NoCheck
};
Phương thức GetClientCertificate:
private static X509Certificate2 GetClientCertificate(string clientCertName, string password)
{
//Create X509Certificate2 object from .pfx file
byte[] rawData = null;
using (var f = new FileStream(Path.Combine(AppContext.BaseDirectory, clientCertName), FileMode.Open, FileAccess.Read))
{
var size = (int)f.Length;
var rawData = new byte[size];
f.Read(rawData, 0, size);
f.Close();
}
return new X509Certificate2(rawData, password);
}
Thứ nhất, KHÔNG SỬ DỤNG NÓ TRONG SẢN XUẤT
Nếu bạn đang sử dụng phần mềm trung gian AddHttpClient, điều này sẽ rất hữu ích. Tôi nghĩ rằng nó cần thiết cho mục đích phát triển chứ không phải sản xuất. Cho đến khi bạn tạo chứng chỉ hợp lệ, bạn có thể sử dụng Hàm này.
Func<HttpMessageHandler> configureHandler = () =>
{
var bypassCertValidation = Configuration.GetValue<bool>("BypassRemoteCertificateValidation");
var handler = new HttpClientHandler();
//!DO NOT DO IT IN PRODUCTION!! GO AND CREATE VALID CERTIFICATE!
if (bypassCertValidation)
{
handler.ServerCertificateCustomValidationCallback = (httpRequestMessage, x509Certificate2, x509Chain, sslPolicyErrors) =>
{
return true;
};
}
return handler;
};
và áp dụng nó như
services.AddHttpClient<IMyClient, MyClient>(x => { x.BaseAddress = new Uri("https://localhost:5005"); })
.ConfigurePrimaryHttpMessageHandler(configureHandler);
Cho phép tất cả các chứng chỉ là rất mạnh mẽ nhưng nó cũng có thể nguy hiểm. Nếu bạn chỉ muốn cho phép các chứng chỉ hợp lệ cộng với một số chứng chỉ nhất định, nó có thể được thực hiện như thế này.
using (var httpClientHandler = new HttpClientHandler())
{
httpClientHandler.ServerCertificateCustomValidationCallback = (message, cert, chain, sslPolicyErrors) => {
if (sslPolicyErrors == SslPolicyErrors.None)
{
return true; //Is valid
}
if (cert.GetCertHashString() == "99E92D8447AEF30483B1D7527812C9B7B3A915A7")
{
return true;
}
return false;
};
using (var httpClient = new HttpClient(httpClientHandler))
{
var httpResponse = httpClient.GetAsync("https://example.com").Result;
}
}
Nguồn chính thức: