在.NET的HttpWebRequest/Response中使用自签名证书

我正在尝试连接到使用自签名SSL证书的API.我这样做是使用.NET的HttpWebRequest和HttpWebResponse对象.我得到一个例外:

底层连接已关闭:无法为SSL/TLS安全通道建立信任关系.

我明白这意味着什么.我理解为什么 .NET认为它应该警告我并关闭连接.但在这种情况下,无论如何我都想连接到API,中间人攻击会被诅咒.

那么,我该如何为这个自签名证书添加例外呢？或者是告诉HttpWebRequest/Response不要验证证书的方法？我该怎么办？

1> Dominic Sche..：

---

事实证明,如果您只想完全禁用证书验证,则可以更改ServicePointManager上的ServerCertificateValidationCallback,如下所示:

ServicePointManager.ServerCertificateValidationCallback = delegate { return true; };

这将验证所有证书(包括无效,过期或自签名证书).

---

但要小心!RL经验表明,这种开发攻击经常使它进入发布产品:[世界上最危险的代码](http://crypto.stanford.edu/~dabo/pubs/abstracts/ssl-client-bugs. HTML)

---

这是一个在开发中很有用的黑客,因此在它周围添加一个#if DEBUG #endif语句是你应该做的最少的事情,以使这个更安全并阻止它在生产中结束.

---

除非这个人删除了这个答案,否则我们会看到一个有趣的事实,即错误的答案会得到比正确答案更多的选票.

---

非常适合对开发机器进行快速测试.谢谢.

---

这会影响到什么范围 - appdomain中的所有内容？apppool上的一切？机器上的一切？

2> devstuff..：

---

@Domster:这有效,但您可能希望通过检查证书哈希是否符合您的预期来强制执行一些安全性.所以扩展版看起来有点像这样(基于我们正在使用的一些实时代码):

static readonly byte[] apiCertHash = { 0xZZ, 0xYY, ....};

/// 

/// Somewhere in your application's startup/init sequence...
/// 
void InitPhase()
{
    // Override automatic validation of SSL server certificates.
    ServicePointManager.ServerCertificateValidationCallback =
           ValidateServerCertficate;
}

/// 

/// Validates the SSL server certificate.
/// 
/// An object that contains state information for this
/// validation.
/// The certificate used to authenticate the remote party.
/// The chain of certificate authorities associated with the
/// remote certificate.
/// One or more errors associated with the remote
/// certificate.
/// Returns a boolean value that determines whether the specified
/// certificate is accepted for authentication; true to accept or false to
/// reject.
private static bool ValidateServerCertficate(
        object sender,
        X509Certificate cert,
        X509Chain chain,
        SslPolicyErrors sslPolicyErrors)
{
    if (sslPolicyErrors == SslPolicyErrors.None)
    {
        // Good certificate.
        return true;
    }

    log.DebugFormat("SSL certificate error: {0}", sslPolicyErrors);

    bool certMatch = false; // Assume failure
    byte[] certHash = cert.GetCertHash();
    if (certHash.Length == apiCertHash.Length)
    {
        certMatch = true; // Now assume success.
        for (int idx = 0; idx < certHash.Length; idx++)
        {
            if (certHash[idx] != apiCertHash[idx])
            {
                certMatch = false; // No match
                break;
            }
        }
    }

    // Return true => allow unauthenticated server,
    //        false => disallow unauthenticated server.
    return certMatch;
}

---

@ BrainSlugs83:禁用当然也是一种选择,但将证书添加到机器级根权限存储只能由管理员完成.我的解决方案无论哪种方式

---

这是执行此操作的最佳方式.如果删除对sslPolicyErrors的检查,则实际上可以确保API证书始终是预期的证书.需要注意的一点是,上面代码中的证书指纹是一个const字节数组.这不会按编写的方式编译.请尝试使用静态只读字节数组.编译器对此进行了扼流,因为它需要new()运算符.

3> 小智..：

---

请注意,在.NET 4.5中,您可以为每个HttpWebRequest本身覆盖SSL验证(而不是通过影响所有请求的全局委托):

http://msdn.microsoft.com/en-us/library/system.net.httpwebrequest.servercertificatevalidationcallback.aspx

HttpWebRequest request = (HttpWebRequest)HttpWebRequest.Create(uri);
request.ServerCertificateValidationCallback = delegate { return true; };

4> 小智..：

---

将自签名证书添加到本地计算机受信任的根证书颁发机构

您可以通过以管理员身份运行MMC来导入证书.

如何:使用MMC管理单元查看证书

---

该方法适用于Windows Mobile 6.5吗？7怎么样？就我而言,我不想将本地证书添加到我计划运行开发版本的每个移动设备上.在这种情况下,一个很好的例外,使部署变得更容易.懒惰或效率,你告诉我.

---

恕我直言,这是最正确的方式; 人们太懒了,所以他们在特殊例外中编码他们可能不应该做的事情.

---

@domster您出于某种原因使用SSL证书 - 验证端点.如果您开发专门针对该代码工作的代码,则不会对其进行正确测试,并且可能会将该代码泄露到实时环境中.如果在客户端上安装证书真的太多了,为什么不直接从所有设备信任的发行者那里购买证书？

5> Nathan Baulc..：

---

Domster的答案中使用的验证回调的范围可以限制为使用ServerCertificateValidationCallback委托上的sender参数的特定请求.以下简单范围类使用此技术临时连接仅对给定请求对象执行的验证回调.

public class ServerCertificateValidationScope : IDisposable
{
    private readonly RemoteCertificateValidationCallback _callback;

    public ServerCertificateValidationScope(object request,
        RemoteCertificateValidationCallback callback)
    {
        var previous = ServicePointManager.ServerCertificateValidationCallback;
        _callback = (sender, certificate, chain, errors) =>
            {
                if (sender == request)
                {
                    return callback(sender, certificate, chain, errors);
                }
                if (previous != null)
                {
                    return previous(sender, certificate, chain, errors);
                }
                return errors == SslPolicyErrors.None;
            };
        ServicePointManager.ServerCertificateValidationCallback += _callback;
    }

    public void Dispose()
    {
        ServicePointManager.ServerCertificateValidationCallback -= _callback;
    }
}

上述类可用于忽略特定请求的所有证书错误,如下所示:

var request = WebRequest.Create(uri);
using (new ServerCertificateValidationScope(request, delegate { return true; }))
{
    request.GetResponse();
}

---

这并没有真正解决多线程环境中的问题.

---

这个答案需要更多的投票:)这是使用HttpWebRequest对象跳过单个请求的证书验证的最合理的答案.