由于此错误消息,我们无法使用WebRequest
连接到HTTPS服务器:
The request was aborted: Could not create SSL/TLS secure channel.
我们知道服务器没有使用路径的有效HTTPS证书,但是为了绕过这个问题,我们使用以下代码,我们从另一个StackOverflow帖子中获取:
private void Somewhere() {
ServicePointManager.ServerCertificateValidationCallback += new RemoteCertificateValidationCallback(AlwaysGoodCertificate);
}
private static bool AlwaysGoodCertificate(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors policyErrors) {
return true;
}
问题是服务器永远不会验证证书并因上述错误而失败。有谁知道我该怎么办?
我应该提到一位同事和我几周前进行了测试,并且它与我上面写的内容类似。我们发现的唯一“主要差异”是我使用的是Windows 7并且他使用的是Windows XP。这有什么改变吗?
我终于找到了答案(我没有注意到我的来源,但它来自搜索);
虽然代码适用于Windows XP,但在Windows 7中,您必须在开头添加此代码:
// using System.Net;
ServicePointManager.Expect100Continue = true;
ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12;
// Use SecurityProtocolType.Ssl3 if needed for compatibility reasons
现在,它完美无缺。
附录
如罗宾法国人所说;如果您在配置PayPal时遇到此问题,请注意,从2018年12月开始,他们不支持SSL3。您需要使用TLS。这是关于它的Paypal page。
如果服务器正在向HTTP请求返回HTTP 401 Unauthorized响应,则“请求已中止:无法创建SSL / TLS安全通道”异常可能发生。
您可以通过为客户端应用程序启用跟踪级System.Net日志记录来确定是否发生这种情况,如this answer中所述。
一旦该日志记录配置到位,运行应用程序并重现错误,然后在日志记录输出中查找如下所示的行:
System.Net Information: 0 : [9840] Connection#62912200 - Received status line: Version=1.1, StatusCode=401, StatusDescription=Unauthorized.
在我的情况下,我没有设置服务器期望的特定cookie,导致服务器响应401错误的请求,这反过来导致“无法创建SSL / TLS安全通道”异常。
这个在MVC webclient中为我工作
public string DownloadSite(string RefinedLink)
{
try
{
Uri address = new Uri(RefinedLink);
ServicePointManager.ServerCertificateValidationCallback = delegate { return true; };
ServicePointManager.SecurityProtocol = SecurityProtocolType.Ssl3;
System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12;
using (WebClient webClient = new WebClient())
{
var stream = webClient.OpenRead(address);
using (StreamReader sr = new StreamReader(stream))
{
var page = sr.ReadToEnd();
return page;
}
}
}
catch (Exception e)
{
log.Error("DownloadSite - error Lin = " + RefinedLink, e);
return null;
}
}
在我的例子中,这个异常的根源是在代码中的某个时刻调用了以下内容:
ServicePointManager.SecurityProtocol = SecurityProtocolType.Ssl3;
这真的很糟糕。它不仅指示.NET使用不安全的协议,而且这会影响您的appdomain中随后发出的每个新WebClient(和类似)请求。 (请注意,传入的Web请求在您的ASP.NET应用程序中不受影响,但新的WebClient请求(例如与外部Web服务通信)都是如此。
在我的情况下,它实际上并不需要,所以我可以删除该语句,我的所有其他Web请求再次开始正常工作。基于我在其他地方的阅读,我学到了一些东西:
正如您所知,这可能有很多原因。以为我会添加我遇到的原因......
如果将WebRequest.Timeout
的值设置为0
,则抛出该异常。下面是我的代码...(除了超时值的硬编码0
,我有一个参数,无意中设置为0
)。
WebRequest webRequest = WebRequest.Create(@"https://myservice/path");
webRequest.ContentType = "text/html";
webRequest.Method = "POST";
string body = "...";
byte[] bytes = Encoding.ASCII.GetBytes(body);
webRequest.ContentLength = bytes.Length;
var os = webRequest.GetRequestStream();
os.Write(bytes, 0, bytes.Length);
os.Close();
webRequest.Timeout = 0; //setting the timeout to 0 causes the request to fail
WebResponse webResponse = webRequest.GetResponse(); //Exception thrown here ...
The request was aborted: Could not create SSL/TLS secure channel
错误的另一个可能原因是客户端PC配置的cipher_suites值与服务器配置为愿意并且能够接受的值不匹配。在这种情况下,当您的客户端在其初始SSL握手/协商“客户端Hello”消息中发送它能够接受的cipher_suites值列表时,服务器会发现所提供的值都不可接受,并且可能返回“警报” “响应而不是继续进行SSL握手的”服务器Hello“步骤。
要研究这种可能性,您可以下载Microsoft Message Analyzer,并使用它来运行SSL协商时的跟踪,当您尝试并且无法建立到服务器的HTTPS连接时(在C#应用程序中)。
如果您能够从另一个环境(例如您提到的Windows XP计算机)成功建立HTTPS连接,或者可能通过在不使用操作系统密码套件设置的非Microsoft浏览器中访问HTTPS URL,例如Chrome或Firefox),在该环境中运行另一个Message Analyzer跟踪,以捕获SSL协商成功时发生的情况。
希望您会看到两个Client Hello消息之间的某些区别,这些消息将使您能够准确查明失败的SSL协商导致其失败的原因。然后,您应该能够对Windows进行配置更改,以使其成功。 IISCrypto是一个很好用的工具(即使是客户端PC,尽管有“IIS”名称)。
以下两个Windows注册表项控制您的PC将使用的cipher_suites值:
这里是我如何调查和解决这种各种Could not create SSL/TLS secure channel
问题的实例的完整文章:http://blog.jonschneider.com/2016/08/fix-ssl-handshaking-error-in-windows.html
我整天都在努力解决这个问题。
当我使用.NET 4.5创建一个新项目时,我终于开始工作了。
但是,如果我降级到4.0,我又遇到了同样的问题,这对于那个项目是不可逆转的(即使我试图再次升级到4.5)。
奇怪没有其他错误消息,但“请求已中止:无法创建SSL / TLS安全通道。”想出了这个错误
我有这个问题,因为我的web.config有:
<httpRuntime targetFramework="4.5.2" />
并不是:
<httpRuntime targetFramework="4.6.1" />
如果从Visual Studio运行代码,请尝试以管理员身份运行Visual Studio。解决了我的问题。
就我而言,运行应用程序的服务帐户没有访问私钥的权限。一旦我获得此许可,错误便消失了
在.NET 4.5中解决这个问题的方法是
ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12;
如果您没有.NET 4.5,请使用
ServicePointManager.SecurityProtocol = (SecurityProtocolType)3072;
我遇到了同样的问题,发现this answer适合我。关键是3072.This link提供了'3072'修复的详细信息。
ServicePointManager.SecurityProtocol = (SecurityProtocolType)3072;
XmlReader r = XmlReader.Create(url);
SyndicationFeed albums = SyndicationFeed.Load(r);
在我的情况下,两个Feed需要修复:
https://www.fbi.gov/feeds/fbi-in-the-news/atom.xml
https://www.wired.com/feed/category/gear/latest/rss
System.Net.WebException:请求已中止:无法创建SSL / TLS安全通道。
在我们的例子中,我们使用软件供应商,因此我们无权修改.NET代码。显然,.NET 4不会使用TLS v 1.2,除非有更改。
我们的修复是将SchUseStrongCrypto密钥添加到注册表中。您可以将以下代码复制/粘贴到带有.reg扩展名的文本文件中并执行它。它是我们解决问题的“补丁”。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001
对我来说问题是我试图在IIS上作为Web服务部署,我在服务器上安装了证书,但运行IIS的用户对证书没有正确的权限。
How to give ASP.NET access to a private key in a certificate in the certificate store?
试试这个:
ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12;
这个问题可以有很多答案,因为它是关于一般的错误信息。我们在一些服务器上遇到了这个问题,但不是我们的开发机器。拔出大部分头发后,我们发现这是一个微软的错误。
从本质上讲,MS假设您需要较弱的加密,但操作系统仅修补为允许TLS 1.2,因此您收到了可怕的“请求已中止:无法创建SSL / TLS安全通道”。
有三个修复。
1)使用适当的更新来修补操作系统:http://www.catalog.update.microsoft.com/Search.aspx?q=kb4458166
2)在app.config / web.config文件中添加设置。
3)添加另一个答案中已经提到的注册表设置。
所有这些都在我发布的知识库文章中提到过。
您可以尝试安装演示证书(一些ssl提供商免费提供一个月),以确保问题是否与证书有效性相关。
只要这是一个相对“实时”的链接,我想我会添加一个新选项。由于Poodle攻击的问题,该服务可能不再支持SSL 3.0。查看关于此的Google声明。我立刻遇到了几个Web服务的问题,并意识到必须要进行一些事情。我切换到TLS 1.2,一切都恢复正常。
http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html
这只是在一个网站上发生的,事实证明它只有RC4密码可用。在先前努力强化服务器的过程中,我已经禁用了RC4密码,一旦我重新启用它,问题就解决了。
除上述答案外,请确保已将CER证书,而不是PFX文件导入本地计算机商店。有这两个文件时常见的错误。
在我的情况下,当Windows服务试图连接到Web服务时,我遇到了这个问题。最后查看Windows事件我发现了一个错误代码。
事件ID 36888(Schannel)被提出:
The following fatal alert was generated: 40. The internal error state is 808.
最后,它与Windows Hotfix有关。就我而言:KB3172605和KB3177186
vmware论坛中提出的解决方案是在Windows中添加一个注册表项。添加以下注册表后一切正常。
[HKEY_LOCAL_MACHINE \ SYSTEM \ CURRENTCONTROLSET \控制\ SecurityProviders \ SCHANNEL \ KeyExchangeAlgorithms \的Diffie-Hellman]
“ClientMinKeyBitLength”= DWORD:00000200
显然,它与客户端https握手中的缺失值有关。
列出您的Windows HotFix:
wmic qfe list
解决方案线程
https://communities.vmware.com/message/2604912#2604912
希望它有所帮助。
确保在创建HttpWebRequest之前进行了ServicePointManager设置,否则它将无法工作。
作品:
ServicePointManager.Expect100Continue = true;
ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls
| SecurityProtocolType.Tls11
| SecurityProtocolType.Tls12
| SecurityProtocolType.Ssl3;
HttpWebRequest request = (HttpWebRequest)WebRequest.Create("https://google.com/api/")
失败:
HttpWebRequest request = (HttpWebRequest)WebRequest.Create("https://google.com/api/")
ServicePointManager.Expect100Continue = true;
ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls
| SecurityProtocolType.Tls11
| SecurityProtocolType.Tls12
| SecurityProtocolType.Ssl3;
这对我来说是固定的,添加网络服务权限。右键单击证书>所有任务>管理私钥>添加>网络服务
您遇到的问题是aspNet用户无权访问证书。您必须使用winhttpcertcfg.exe授予访问权限
关于如何设置它的一个例子是:http://support.microsoft.com/kb/901183
在第2步中获取更多信息
编辑:在更新版本的IIS中,此功能内置于证书管理器工具中 - 可以通过右键单击证书并使用管理私钥的选项来访问。更多细节在这里:https://serverfault.com/questions/131046/how-to-grant-iis-7-5-access-to-a-certificate-in-certificate-store/132791#132791
该错误是通用的,并且SSL / TLS协商可能失败的原因有很多。最常见的是无效或过期的服务器证书,您通过提供自己的服务器证书验证挂钩来解决这个问题,但不一定是唯一的原因。服务器可能需要相互身份验证,它可能配置了客户端不支持的密码套件,它可能有一个时间漂移太大,握手成功和更多的原因。
最佳解决方案是使用SChannel故障排除工具集。 SChannel是负责SSL和TLS的SSPI提供程序,您的客户端将使用它进行握手。看看TLS/SSL Tools and Settings。
我有这个问题试图点击https://ct.mob0.com/Styles/Fun.png,这是由CloudFlare在其CDN上分发的图像,支持疯狂的东西,如SPDY和奇怪的重定向SSL证书。
而不是像在Simons中那样指定Ssl3,我可以通过像这样下载到Tls12来修复它:
ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12;
new WebClient().DownloadData("https://ct.mob0.com/Styles/Fun.png");
经过长时间的同一个问题后,我发现运行客户端服务的ASP.NET帐户无法访问证书。我通过进入Web应用程序运行的IIS应用程序池,进入高级设置,并将标识从LocalSystem
更改为NetworkService
帐户来修复它。
更好的解决方案是使证书使用默认的NetworkService
帐户,但这适用于快速功能测试。
原始答案没有的东西。我添加了一些代码以使其成为防弹。
ServicePointManager.Expect100Continue = true;
ServicePointManager.DefaultConnectionLimit = 9999;
ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12 | SecurityProtocolType.Ssl3;
另一种可能性是在盒子上输入不正确的证书。确保选中环绕的复选框。最初我没有这样做,因此代码要么超时要么抛出相同的异常,因为无法找到私钥。