자체 서명 된 SSL 인증서를 사용하는 API에 연결하려고합니다. .NET의 HttpWebRequest 및 HttpWebResponse 개체를 사용하여 그렇게하고 있습니다. 그리고 다음과 같은 예외가 발생합니다.
기본 연결이 닫혔습니다. SSL / TLS 보안 채널에 대한 신뢰 관계를 설정할 수 없습니다.
이것이 의미하는 바를 이해합니다. 그리고 .NET이 경고하고 연결을 닫아야한다고 느끼는 이유를 이해 합니다. 그러나이 경우에는 어쨌든 API에 연결하고 싶습니다. man-in-the-middle 공격은 저주합니다.
그렇다면이 자체 서명 된 인증서에 대한 예외를 추가하려면 어떻게해야합니까? 아니면 HttpWebRequest / Response에게 인증서의 유효성을 전혀 확인하지 않도록 지시하는 방법입니까? 어떻게할까요?
답변:
@Domster : 작동하지만 인증서 해시가 예상 한 것과 일치하는지 확인하여 약간의 보안을 강화할 수 있습니다. 따라서 확장 된 버전은 다음과 같이 보입니다 (사용중인 일부 라이브 코드를 기반으로 함).
static readonly byte[] apiCertHash = { 0xZZ, 0xYY, ....};
/// <summary>
/// Somewhere in your application's startup/init sequence...
/// </summary>
void InitPhase()
{
// Override automatic validation of SSL server certificates.
ServicePointManager.ServerCertificateValidationCallback =
ValidateServerCertficate;
}
/// <summary>
/// Validates the SSL server certificate.
/// </summary>
/// <param name="sender">An object that contains state information for this
/// validation.</param>
/// <param name="cert">The certificate used to authenticate the remote party.</param>
/// <param name="chain">The chain of certificate authorities associated with the
/// remote certificate.</param>
/// <param name="sslPolicyErrors">One or more errors associated with the remote
/// certificate.</param>
/// <returns>Returns a boolean value that determines whether the specified
/// certificate is accepted for authentication; true to accept or false to
/// reject.</returns>
private static bool ValidateServerCertficate(
object sender,
X509Certificate cert,
X509Chain chain,
SslPolicyErrors sslPolicyErrors)
{
if (sslPolicyErrors == SslPolicyErrors.None)
{
// Good certificate.
return true;
}
log.DebugFormat("SSL certificate error: {0}", sslPolicyErrors);
bool certMatch = false; // Assume failure
byte[] certHash = cert.GetCertHash();
if (certHash.Length == apiCertHash.Length)
{
certMatch = true; // Now assume success.
for (int idx = 0; idx < certHash.Length; idx++)
{
if (certHash[idx] != apiCertHash[idx])
{
certMatch = false; // No match
break;
}
}
}
// Return true => allow unauthenticated server,
// false => disallow unauthenticated server.
return certMatch;
}
인증서 유효성 검사를 모두 비활성화하려면 ServicePointManager에서 ServerCertificateValidationCallback을 다음과 같이 변경할 수 있습니다.
ServicePointManager.ServerCertificateValidationCallback = delegate { return true; };
이는 모든 인증서 (유효하지 않거나 만료되었거나 자체 서명 된 인증서 포함)의 유효성을 검사합니다.
.NET 4.5에서는 HttpWebRequest 자체에 따라 SSL 유효성 검사를 재정의 할 수 있습니다 (모든 요청에 영향을주는 전역 대리자를 통하지 않음).
HttpWebRequest request = (HttpWebRequest)HttpWebRequest.Create(uri);
request.ServerCertificateValidationCallback = delegate { return true; };
Domster의 응답에 사용되는 유효성 검사 콜백의 범위 는 ServerCertificateValidationCallback대리자 의 sender 매개 변수를 사용하여 특정 요청으로 제한 될 수 있습니다 . 다음 간단한 범위 클래스는이 기술을 사용하여 주어진 요청 객체에 대해서만 실행되는 유효성 검사 콜백을 일시적으로 연결합니다.
public class ServerCertificateValidationScope : IDisposable
{
private readonly RemoteCertificateValidationCallback _callback;
public ServerCertificateValidationScope(object request,
RemoteCertificateValidationCallback callback)
{
var previous = ServicePointManager.ServerCertificateValidationCallback;
_callback = (sender, certificate, chain, errors) =>
{
if (sender == request)
{
return callback(sender, certificate, chain, errors);
}
if (previous != null)
{
return previous(sender, certificate, chain, errors);
}
return errors == SslPolicyErrors.None;
};
ServicePointManager.ServerCertificateValidationCallback += _callback;
}
public void Dispose()
{
ServicePointManager.ServerCertificateValidationCallback -= _callback;
}
}
위의 클래스는 다음과 같이 특정 요청에 대한 모든 인증서 오류를 무시하는 데 사용할 수 있습니다.
var request = WebRequest.Create(uri);
using (new ServerCertificateValidationScope(request, delegate { return true; }))
{
request.GetResponse();
}
SslPolicyErrors.None이전 콜백이 없었던 경우 반환 된다는 것은 '모두 수락'정책으로 기본 정책을 재정의한다는 것을 의미하지 않습니까? cf. 이 질문과 다양한 답변 : stackoverflow.com/q/9058096 . 내가 왜 틀렸는 지,이 코드는 괜찮다는 말을 듣게되어 매우 기쁩니다!
devstuff의 답변 을 기반으로 주제와 발행자 ... 댓글을 환영합니다 ...
public class SelfSignedCertificateValidator
{
private class CertificateAttributes
{
public string Subject { get; private set; }
public string Issuer { get; private set; }
public string Thumbprint { get; private set; }
public CertificateAttributes(string subject, string issuer, string thumbprint)
{
Subject = subject;
Issuer = issuer;
Thumbprint = thumbprint.Trim(
new char[] { '\u200e', '\u200f' } // strip any lrt and rlt markers from copy/paste
);
}
public bool IsMatch(X509Certificate cert)
{
bool subjectMatches = Subject.Replace(" ", "").Equals(cert.Subject.Replace(" ", ""), StringComparison.InvariantCulture);
bool issuerMatches = Issuer.Replace(" ", "").Equals(cert.Issuer.Replace(" ", ""), StringComparison.InvariantCulture);
bool thumbprintMatches = Thumbprint == String.Join(" ", cert.GetCertHash().Select(h => h.ToString("x2")));
return subjectMatches && issuerMatches && thumbprintMatches;
}
}
private readonly List<CertificateAttributes> __knownSelfSignedCertificates = new List<CertificateAttributes> {
new CertificateAttributes( // can paste values from "view cert" dialog
"CN = subject.company.int",
"CN = issuer.company.int",
"f6 23 16 3d 5a d8 e5 1e 13 58 85 0a 34 9f d6 d3 c8 23 a8 f4")
};
private static bool __createdSingleton = false;
public SelfSignedCertificateValidator()
{
lock (this)
{
if (__createdSingleton)
throw new Exception("Only a single instance can be instanciated.");
// Hook in validation of SSL server certificates.
ServicePointManager.ServerCertificateValidationCallback += ValidateServerCertficate;
__createdSingleton = true;
}
}
/// <summary>
/// Validates the SSL server certificate.
/// </summary>
/// <param name="sender">An object that contains state information for this
/// validation.</param>
/// <param name="cert">The certificate used to authenticate the remote party.</param>
/// <param name="chain">The chain of certificate authorities associated with the
/// remote certificate.</param>
/// <param name="sslPolicyErrors">One or more errors associated with the remote
/// certificate.</param>
/// <returns>Returns a boolean value that determines whether the specified
/// certificate is accepted for authentication; true to accept or false to
/// reject.</returns>
private bool ValidateServerCertficate(
object sender,
X509Certificate cert,
X509Chain chain,
SslPolicyErrors sslPolicyErrors)
{
if (sslPolicyErrors == SslPolicyErrors.None)
return true; // Good certificate.
Dbg.WriteLine("SSL certificate error: {0}", sslPolicyErrors);
return __knownSelfSignedCertificates.Any(c => c.IsMatch(cert));
}
}
다른 사람에게 가능한 도움으로 추가하려면 ... 사용자에게 자체 서명 된 인증서를 설치하라는 메시지를 표시하려면이 코드를 사용할 수 있습니다 (위에서 수정 됨).
관리자 권한이 필요하지 않으며 로컬 사용자에게 신뢰할 수있는 프로필을 설치합니다.
private static bool ValidateServerCertficate(
object sender,
X509Certificate cert,
X509Chain chain,
SslPolicyErrors sslPolicyErrors)
{
if (sslPolicyErrors == SslPolicyErrors.None)
{
// Good certificate.
return true;
}
Common.Helpers.Logger.Log.Error(string.Format("SSL certificate error: {0}", sslPolicyErrors));
try
{
using (X509Store store = new X509Store(StoreName.My, StoreLocation.CurrentUser))
{
store.Open(OpenFlags.ReadWrite);
store.Add(new X509Certificate2(cert));
store.Close();
}
return true;
}
catch (Exception ex)
{
Common.Helpers.Logger.Log.Error(string.Format("SSL certificate add Error: {0}", ex.Message));
}
return false;
}
이것은 우리 응용 프로그램에서 잘 작동하는 것으로 보이며 사용자가 아니오를 누르면 통신이 작동하지 않습니다.
업데이트 : 2015-12-11 -StoreName.Root를 StoreName.My로 변경-My는 루트가 아닌 로컬 사용자 저장소에 설치됩니다. 일부 시스템에서는 "관리자 권한으로 실행"하더라도 루트가 작동하지 않습니다.
나는 웹 요청이 정확한 예외를 던지는 OP와 동일한 문제에 직면했습니다. 나는 모든 것이 올바르게 설정되었고, 인증서가 설치되었고, 컴퓨터 저장소에서 그것을 찾아서 웹 요청에 첨부 할 수 있었고, 요청 컨텍스트에서 인증서 확인을 비활성화했습니다.
내 사용자 계정으로 실행 중이며 인증서가 컴퓨터 저장소에 설치되어 있음이 밝혀졌습니다. 이로 인해 웹 요청에서이 예외가 발생했습니다. 문제를 해결하려면 관리자로 실행하거나 인증서를 사용자 저장소에 설치하고 거기에서 읽어야했습니다.
웹 요청과 함께 사용할 수 없더라도 C #이 컴퓨터 저장소에서 인증서를 찾을 수있는 것처럼 보이며 이로 인해 웹 요청이 발행되면 OP 예외가 발생합니다.
우선 @devstuff에서 설명한 솔루션을 사용했기 때문에 사과드립니다. 그러나 나는 그것을 개선 할 몇 가지 방법을 찾았습니다.
내 수정은 다음과 같습니다.
private static X509Certificate2 caCertificate2 = null;
/// <summary>
/// Validates the SSL server certificate.
/// </summary>
/// <param name="sender">An object that contains state information for this validation.</param>
/// <param name="cert">The certificate used to authenticate the remote party.</param>
/// <param name="chain">The chain of certificate authorities associated with the remote certificate.</param>
/// <param name="sslPolicyErrors">One or more errors associated with the remote certificate.</param>
/// <returns>Returns a boolean value that determines whether the specified certificate is accepted for authentication; true to accept or false to reject.</returns>
private static bool ValidateServerCertficate(
object sender,
X509Certificate cert,
X509Chain chain,
SslPolicyErrors sslPolicyErrors)
{
if (sslPolicyErrors == SslPolicyErrors.None)
{
// Good certificate.
return true;
}
// If the following line is not added, then for the self-signed cert an error will be (not tested with let's encrypt!):
// "A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. (UntrustedRoot)"
chain.ChainPolicy.VerificationFlags = X509VerificationFlags.AllowUnknownCertificateAuthority;
// convert old-style cert to new-style cert
var returnedServerCert2 = new X509Certificate2(cert);
// This part is very important. Adding known root here. It doesn't have to be in the computer store at all. Neither do certificates.
chain.ChainPolicy.ExtraStore.Add(caCertificate2);
// 1. Checks if ff the certs are OK (not expired/revoked/etc)
// 2. X509VerificationFlags.AllowUnknownCertificateAuthority will make sure that untrusted certs are OK
// 3. IMPORTANT: here, if the chain contains the wrong CA - the validation will fail, as the chain is wrong!
bool isChainValid = chain.Build(returnedServerCert2);
if (!isChainValid)
{
string[] errors = chain.ChainStatus
.Select(x => String.Format("{0} ({1})", x.StatusInformation.Trim(), x.Status))
.ToArray();
string certificateErrorsString = "Unknown errors.";
if (errors != null && errors.Length > 0)
{
certificateErrorsString = String.Join(", ", errors);
}
Log.Error("Trust chain did not complete to the known authority anchor. Errors: " + certificateErrorsString);
return false;
}
// This piece makes sure it actually matches your known root
bool isValid = chain.ChainElements
.Cast<X509ChainElement>()
.Any(x => x.Certificate.RawData.SequenceEqual(caCertificate2.GetRawCertData()));
if (!isValid)
{
Log.Error("Trust chain did not complete to the known authority anchor. Thumbprints did not match.");
}
return isValid;
}
인증서 설정 :
caCertificate2 = new X509Certificate2("auth/ca.crt", "");
var clientCertificate2 = new X509Certificate2("auth/client.pfx", "");
델리게이트 메서드 전달
ServerCertificateValidationCallback(ValidateServerCertficate)
client.pfx 다음과 같이 KEY 및 CERT로 생성됩니다.
openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx