我试图绕过 https 证书验证仅对我们自己的测试环境(多台机器),同时尝试为所有其他连接保留证书验证。
从在线阅读来看,大多数(如果不是全部)与 WCF 相关的建议似乎都指向以下类似的内容
ServicePointManager.ServerCertificateValidationCallback = delegate { return true; };
但是,这是一个全局设置,我想仅将其应用于特定连接。这甚至可能/受支持的使用场景吗?
【问题讨论】:
在使用 .net 4.5 时,我终于找到了一个真正的解决方案。
此代码允许您仅为特定 WCF 客户端使用自定义验证器。
它已针对带有BasicHttpSecurityMode.Transport 的 BasicHttpBinding 进行了测试。
ClientBase.ClientCredentials.ServiceCertificate 中有一个名为 SslCertificateAuthentication 的新属性。
您可以使用X509ServiceCertificateAuthentication 初始化此属性,您可以在其中提供自定义X509CertificateValidator。
例如:
// initialize the ssl certificate authentication
client.ClientCredentials.ServiceCertificate.SslCertificateAuthentication = new X509ServiceCertificateAuthentication()
{
CertificateValidationMode = X509CertificateValidationMode.Custom,
CustomCertificateValidator = new CustomValidator(serverCert)
};
// simple custom validator, only valid against a specific thumbprint
class CustomValidator : X509CertificateValidator
{
private readonly X509Certificate2 knownCertificate;
public CustomValidator(X509Certificate2 knownCertificate)
{
this.knownCertificate = knownCertificate;
}
public override void Validate(X509Certificate2 certificate)
{
if (this.knownCertificate.Thumbprint != certificate.Thumbprint)
{
throw new SecurityTokenValidationException("Unknown certificate");
}
}
}
【讨论】:
似乎在 .NET 4.5 中您可以执行以下操作:
var request = (HttpWebRequest)WebRequest.Create(url);
request.ServerCertificateValidationCallback +=
(sender, certificate, chain, sslPolicyErrors) => true
我最初并没有意识到这一点,因为您实际上必须将Create 方法的结果转换为HttpWebRequest,因为抽象WebRequest 不包含此委托。
【讨论】:
类似这样的:
ServicePointManager.ServerCertificateValidationCallback = new System.Net.Security.RemoteCertificateValidationCallback(ValidateCert);
public static bool ValidateCert(Object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
string requestHost;
if(sender is string)
{
requestHost = sender.ToString();
}
else
{
HttpWebRequest request = sender as HttpWebRequest;
if(request != null)
{
requestHost = request.Host;
}
}
if(!string.IsNullOrEmpty(requestHost) && requestHost == "my_test_machine")
return true;
return sslPolicyErrors == SslPolicyErrors.None;
}
注意sender参数上的documentation:
根据 CertificatePolicy 属性,传递给 RemoteCertificateValidationCallback 的发送方参数可以是主机字符串名称或派生自 WebRequest(例如 HttpWebRequest)的对象
免责声明 - 我没有对此进行测试,我是根据文档编写的。 YMMV。
【讨论】:
您实际上可以使用以下代码禁用每个客户端/通道的 SSL 证书验证:
var noCertValidationAuth = new X509ServiceCertificateAuthentication()
{
CertificateValidationMode = X509CertificateValidationMode.None
};
client.ClientCredentials.ServiceCertificate.SslCertificateAuthentication = noCertValidationAuth;
它实际上是这个帖子中answer 的一个变体,所以在此表示感谢。
【讨论】:
您可以做的是在您的 web.config 文件中放置一个设置。
然后在您的代码中检查 web.config 文件中的值。然后根据该值设置证书验证。
编辑
一个选项是:
String url = "https://www.stackoverflow.com";
HttpWebRequest request = HttpWebRequest.CreateHttp(url);
request.ServerCertificateValidationCallback += (sender, certificate, chain, sslPolicyErrors) => { return true; };
另一个是:http://weblog.west-wind.com/posts/2011/Feb/11/HttpWebRequest-and-Ignoring-SSL-Certificate-Errors
编辑 2
试试这样的:
ServicePointManager.ServerCertificateValidationCallback += customXertificateValidation;
private static bool customXertificateValidation(object sender, X509Certificate cert,
X509Chain chain, SslPolicyErrors error)
{
if (check something here)
{
return true;
}
return false;
}
【讨论】:
我在 Web.config 文件中使用了一个标志来指示证书何时是自签名的 而且我们也知道我们处于开发环境中:
<add key="isSelfSignedCertificate" value="true"/>
在代码中我们必须检查这个标志来应用证书验证异常:
using System.Net;
bool isSelfSignedCertificate = Convert.ToBoolean(ConfigurationManager.AppSettings["isSelfSignedCertificate"]);
if (isSelfSignedCertificate)
{
ServicePointManager.ServerCertificateValidationCallback = delegate { return true; };
}
【讨论】: