HTTPS 请求使用 HttpClient 失败答案

【问题标题】：HTTPS request fails using HttpClientHTTPS 请求使用 HttpClient 失败
【发布时间】：2017-08-02 10:32:57
【问题描述】：

我正在使用以下代码并得到HttpRequestException 异常：

using (var handler = new HttpClientHandler())
{
    handler.ClientCertificateOptions = ClientCertificateOption.Manual;
    handler.SslProtocols = SslProtocols.Tls12;
    handler.ClientCertificates.Add(new X509Certificate2(@"C:\certificates\cert.pfx"));

    // I also tried to add another certificates that was provided to https access 
    // by administrators of the site, but it still doesn't work.
    //handler.ClientCertificates.Add(new X509Certificate2(@"C:\certificates\cert.crt"));
    //handler.ClientCertificates.Add(new X509Certificate2(@"C:\certificates\cert_ca.crt"));

    using (var client = new HttpClient(handler))
    {
        var response = client.GetAsync("https://someurl.com/api.php?arg1=some&arg2=test").GetAwaiter().GetResult();
        // ^ HttpRequestException: An error occurred while sending the request.
    }
}

例外：

WinHttpException: A security error occurred
    System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
    System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
    System.Runtime.CompilerServices.ConfiguredTaskAwaitable+ConfiguredTaskAwaiter.GetResult()
    System.Net.Http.WinHttpHandler+<StartRequest>d__105.MoveNext()

HttpRequestException: An error occurred while sending the request.
    System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
    System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
    System.Runtime.CompilerServices.ConfiguredTaskAwaitable+ConfiguredTaskAwaiter.GetResult()
    System.Net.Http.HttpClient+<FinishSendAsync>d__58.MoveNext()
    System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
    System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
    System.Runtime.CompilerServices.TaskAwaiter.GetResult()
    MyApp.Web.Controllers.HomeController.Test() in HomeController.cs
        var response = client.GetAsync("https://someurl.com/api.php?arg1=some&arg2=test").GetAwaiter().GetResult();
    lambda_method(Closure , object , Object[] )
    Microsoft.AspNetCore.Mvc.Internal.ControllerActionInvoker+<InvokeActionMethodAsync>d__27.MoveNext()

我还尝试将相同的证书导出到 Windows 证书商店并通过 Google Chrome 使用它，它工作正常（浏览器要求我确认已安装的证书，然后加载资源）。

为什么它在我的代码中不起作用？

更新

我还尝试添加回调来验证证书：

handler.ServerCertificateCustomValidationCallback = (message, certificate2, arg3, arg4) =>
{
    // I set a breakpoint to this point but it is not catched.
    return true;
};

更新2

证书使用 SHA-1。 Neil Moss 在 support for SHA1 certs is being withdrawn 的 cmets 中被提及。如果这是它无法正常工作的真正原因，是否有解决方法？

解决方案

感谢 Neil Moss 的解决方案。他建议将 Tls 标志用于 SSL 协议。

handler.SslProtocols = SslProtocols.Tls12 | SslProtocols.Tls11 | SslProtocols.Tls;

但它还需要以下内容：

handler.ServerCertificateCustomValidationCallback = (message, cert, chain, errors) => true;

在我添加了这个之后，它就可以正常工作了。

【问题讨论】：

请提供错误的完整详细信息：类型、消息和堆栈跟踪。如果有内部异常，那是什么？
嗨@Richard，我已经用异常消息和堆栈跟踪更新了我的问题。
澄清一下，您是尝试通过 客户端证书 通过 HTTPS 连接，还是尝试包含自签名 服务器证书 您希望将其视为有效吗？
完全题外话：为什么client.GetAsync(…).GetAwaiter().GetResult()？为什么不简单地await client.GetAsync(…)？
您的证书是否使用 SHA1 签名？正在撤销对 SHA1 证书的支持 - 可能相关吗？ blogs.windows.com/msedgedev/2016/04/29/sha1-deprecation-roadmap

标签： c# asp.net-core .net-core x509certificate x509certificate2

【解决方案1】：

根据this SO post，您必须使用 ServicePointManager 启用 TLS1.2。

System.Net.ServicePointManager.SecurityProtocol |=
    SecurityProtocolType.Tls12 | 
    SecurityProtocolType.Tls11 | 
    SecurityProtocolType.Tls; // comparable to modern browsers

同样值得注意的是，ServicePointManager.SecurityProtocols 属性的 MSDN documentation 做出了这样的声明：

.NET Framework 4.6 包含一项新的安全功能，可阻止连接的不安全密码和散列算法。

这表明某种形式的 SHA1 块可能就位。

编辑 2020 年 9 月 16 日

我将 = 赋值运算符更改为 |= 运算符，以便对仍然需要 SSL 的任何其他旧网站的请求将继续工作。

【讨论】：

非常感谢您，尼尔·莫斯！在我添加 Tls 协议后，它就可以工作了！但据我所知，没有System.Net.ServicePointManager.SecurityProtocol，但我使用了handler.SslProtocols = SslProtocols.Tls12 | SslProtocols.Tls11 | SslProtocols.Tls;
需要注意的是，对于 .net core 2.0，您需要使用 HttpClientHandler 而不是 ServicePointManager。
当我们请求任何 https 网站时，ServicePointManager 会做什么？

【解决方案2】：

这是一份非常有用的文件。对于 ASP.NET Core 2.0，答案应用如下（结果成功）：

using (var handler = new HttpClientHandler())
{
    handler.ServerCertificateCustomValidationCallback = (sender, certificate, chain, sslPolicyErrors) => true;
    handler.SslProtocols = SslProtocols.Tls12 | SslProtocols.Tls11 | SslProtocols.Tls;
    using (HttpClient client = new HttpClient(handler))
    {
        string requestObjJson = requestObj.ToJson();
        var address = new Uri($"https://yourcompany.com/");
        string token = GetToken();
        client.BaseAddress = address;
        client.DefaultRequestHeaders.Accept.Clear();
        client.DefaultRequestHeaders.Accept.Add(new MediaTypeWithQualityHeaderValue("application/json"));
        client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", token);
        var contentData = new StringContent(requestObjJson, System.Text.Encoding.UTF8, "application/json");
        using (var response = await client.PostAsync("yourcompany/new-employee", contentData))
        {
            var content = response.Content.ReadAsStringAsync();
            var taskResult = content.Result;
            JObject resultObj = JObject.Parse(taskResult);
            return resultObj;
        }
    }
}

【讨论】：

感谢您提供此代码 sn-p，它可能会提供一些有限的短期帮助。一个正确的解释would greatly improve 其长期价值，通过展示为什么这是解决问题的好方法，并将使其对未来有其他类似问题的读者更有用。请edit您的回答添加一些解释，包括您所做的假设。

【解决方案3】：

根据documentation，最好使用None。无“允许操作系统选择要使用的最佳协议，并阻止不安全的协议。除非您的应用有特定理由不这样做，否则您应该使用此字段”

【讨论】：