অবিশ্বাস্য এসএসএল শংসাপত্রগুলিকে এইচটিটিপিপ্লায়েন্টের সাহায্যে অনুমতি দেওয়া হচ্ছে

আমি এসএসএলের মাধ্যমে আমার পরীক্ষার ওয়েব এপিআইয়ের সাথে যোগাযোগ করার জন্য আমার উইন্ডোজ 8 অ্যাপ্লিকেশনটি পেতে লড়াই করছি।

দেখে মনে হয় যে HTRClient / HttpClientHandler WebRequest এর মতো অবিশ্বস্ত শংসাপত্রগুলি উপেক্ষা করার বিকল্প সরবরাহ করে না এবং বিকল্প দেয় না (তবে এটি একটি "হ্যাকি" উপায়ে হলেও ServerCertificateValidationCallback) সক্ষম করে।

কোন সাহায্যের অনেক প্রশংসা হবে!

উইন্ডোজ 8.1 এর সাহায্যে আপনি এখন অবৈধ এসএসএল শংসাপত্রগুলিতে বিশ্বাস করতে পারেন। আপনাকে উইন্ডোজ.ওয়েব.হট্টপ্লেইয়েন্ট ব্যবহার করতে হবে অথবা আপনি যদি সিস্টেম.নেট.এইচটিপি.এইচটিপি ক্লিনেন্ট ব্যবহার করতে চান তবে আপনি লিখেছেন বার্তা হ্যান্ডলার অ্যাডাপ্টারটি ব্যবহার করতে পারেন: http://www.nuget.org/packages/WinRtHttpClientHandler

দস্তাবেজগুলি গিটহাবটিতে রয়েছে: https://github.com/onovotny/WinRtHttpClientHandler

একটি দ্রুত এবং নোংরা সমাধান হ'ল ServicePointManager.ServerCertificateValidationCallbackপ্রতিনিধি ব্যবহার করা । এটি আপনাকে নিজের শংসাপত্রের বৈধতা সরবরাহ করতে দেয়। বৈধতা পুরো অ্যাপ্লিকেশন ডোমেন জুড়ে বিশ্বব্যাপী প্রয়োগ করা হয়।

ServicePointManager.ServerCertificateValidationCallback +=
    (sender, cert, chain, sslPolicyErrors) => true;

আমি এটি প্রধানত এমন পরিস্থিতিতে ইউনিট পরীক্ষার জন্য ব্যবহার করি যেখানে আমি যে প্রান্তে হোস্টিং করছি এমন কোনও শেষ পয়েন্টের বিরুদ্ধে চালাতে চাই এবং এটি ডাব্লুসিএফ ক্লায়েন্ট বা এর সাথে আঘাত করার চেষ্টা করছি HttpClient।

প্রোডাকশন কোডের জন্য আপনি আরও সূক্ষ্ম দানাদার নিয়ন্ত্রণ পেতে চাইতে পারেন WebRequestHandlerএবং এর ServerCertificateValidationCallbackপ্রতিনিধি সম্পত্তি ( ডিটিবির উত্তর নীচে দেখুন ) ব্যবহার করা ভাল । অথবা ctacke উত্তর ব্যবহার করে HttpClientHandler। আমি এখনই এই দুটিয়ের মধ্যে দুটিকেই পছন্দ করছি এমনকি আমার ইন্টিগ্রেশন টেস্টের সাথেও আমি কীভাবে এটি ব্যবহার করতাম যদি না আমি অন্য কোনও হুক না পাই।

কটাক্ষপাত আছে WebRequestHandler ক্লাস এবং তার ServerCertificateValidationCallback প্রপার্টি :

using (var handler = new WebRequestHandler())
{
    handler.ServerCertificateValidationCallback = ...

    using (var client = new HttpClient(handler))
    {
        ...
    }
}

আপনি যদি নেট। স্ট্যান্ডার্ড লাইব্রেরিতে এটি করার চেষ্টা করছেন, কেবলমাত্র trueআপনার হ্যান্ডলারে ফিরে আসার সমস্ত ঝুঁকি সহ এখানে একটি সহজ সমাধান । আমি আপনার উপর নিরাপত্তা ছেড়ে।

var handler = new HttpClientHandler();
handler.ClientCertificateOptions = ClientCertificateOption.Manual;
handler.ServerCertificateCustomValidationCallback = 
    (httpRequestMessage, cert, cetChain, policyErrors) =>
{
    return true;
};

var client = new HttpClient(handler);

অথবা তোমার জন্য ব্যবহার করতে পারেন HttpClient মধ্যে Windows.Web.Httpনামস্থান:

var filter = new HttpBaseProtocolFilter();
#if DEBUG
    filter.IgnorableServerCertificateErrors.Add(ChainValidationResult.Expired);
    filter.IgnorableServerCertificateErrors.Add(ChainValidationResult.Untrusted);
    filter.IgnorableServerCertificateErrors.Add(ChainValidationResult.InvalidName);
#endif
using (var httpClient = new HttpClient(filter)) {
    ...
}

আপনি যদি ব্যবহার করেন তবে System.Net.Http.HttpClientআমি বিশ্বাস করি সঠিক প্যাটার্নটি is

var handler = new HttpClientHandler() 
{ 
    ServerCertificateCustomValidationCallback = HttpClientHandler.DangerousAcceptAnyServerCertificateValidator
};

var http = new HttpClient(handler);
var res = http.GetAsync(url);

এখানে বেশিরভাগ উত্তরগুলি আদর্শ প্যাটার্নটি ব্যবহার করার পরামর্শ দেয়:

using (var httpClient = new HttpClient())
{
 // do something
}

কারণ আইডিস্পোজেবল ইন্টারফেস। দয়া করে না!

মাইক্রোসফ্ট আপনাকে বলে যে:

• https://docs.microsoft.com/en-us/azure/architecture/antipatterns/improper-instantiation
• https://blogs.msdn.microsoft.com/henrikn/2012/08/07/httpclient-httpclienthandler-and-webrequesthandler-explained/

এবং এখানে আপনি পর্দার আড়ালে কী চলছে তার বিশদ বিশ্লেষণ খুঁজে পেতে পারেন: https://aspnetmonsters.com/2016/08/2016-08-27-httpclientwrong/

আপনার এসএসএল প্রশ্ন সম্পর্কিত এবং https://docs.microsoft.com/en-us/azure/architecture/antipatterns/improper-instantiation/#how-to-fix-the-problem এর উপর ভিত্তি করে

আপনার প্যাটার্নটি এখানে:

class HttpInterface
{
 // https://docs.microsoft.com/en-us/azure/architecture/antipatterns/improper-instantiation/#how-to-fix-the-problem
 // https://docs.microsoft.com/en-us/dotnet/api/system.net.http.httpclient#remarks
 private static readonly HttpClient client;

 // static initialize
 static HttpInterface()
 {
  // choose one of these depending on your framework

  // HttpClientHandler is an HttpMessageHandler with a common set of properties
  var handler = new HttpClientHandler();
  {
      ServerCertificateCustomValidationCallback = delegate { return true; },
  };
  // derives from HttpClientHandler but adds properties that generally only are available on full .NET
  var handler = new WebRequestHandler()
  {
      ServerCertificateValidationCallback = delegate { return true; },
      ServerCertificateCustomValidationCallback = delegate { return true; },
  };

  client = new HttpClient(handler);
 }

 .....

 // in your code use the static client to do your stuff
 var jsonEncoded = new StringContent(someJsonString, Encoding.UTF8, "application/json");

 // here in sync
 using (HttpResponseMessage resultMsg = client.PostAsync(someRequestUrl, jsonEncoded).Result)
 {
  using (HttpContent respContent = resultMsg.Content)
  {
   return respContent.ReadAsStringAsync().Result;
  }
 }
}

এটি যদি কোনও উইন্ডোজ রানটাইম অ্যাপ্লিকেশনটির জন্য হয় তবে আপনাকে প্রকল্পে স্ব-স্বাক্ষরিত শংসাপত্র যুক্ত করতে হবে এবং অ্যাপ্লিকেশনটিতে এটি উল্লেখ করতে হবে।

দস্তাবেজগুলি এখানে রয়েছে: http://msdn.microsoft.com/en-us/library/windows/apps/hh465031.aspx

একই জিনিস যদি এটি বিশ্বাসযোগ্য নয় এমন একটি সিএ থেকে আসে (যেমন কোনও ব্যক্তিগত সিএ যেমন মেশিন নিজেই বিশ্বাস করে না) - আপনাকে সিএর পাবলিক সার্টিফিকেট পেতে হবে, অ্যাপ্লিকেশনটিতে বিষয়বস্তু হিসাবে এটি যুক্ত করতে হবে এবং পরে তা ম্যানিফেস্টে যুক্ত করতে হবে।

এটি শেষ হয়ে গেলে অ্যাপটি এটিকে সঠিকভাবে স্বাক্ষরিত শংসাপত্র হিসাবে দেখবে।

আমার কাছে উত্তর নেই তবে আমার কাছে বিকল্প আছে।

আপনি ট্রাফিক নিরীক্ষণ করতে এবং এইচডিটিপিএস ডিক্রিপশন সক্ষম করতে যদি ফিডলার 2 ব্যবহার করেন তবে আপনার বিকাশের পরিবেশটি অভিযোগ করবে না। এটি উইনআরটি ডিভাইসগুলিতে যেমন কাজ করবে না যেমন মাইক্রোসফ্ট সারফেস, কারণ আপনি সেগুলিতে স্ট্যান্ডার্ড অ্যাপ্লিকেশন ইনস্টল করতে পারবেন না। তবে আপনার ডেভলপমেন্ট উইন 8 কম্পিউটার ঠিক থাকবে।

Fiddler2 এ HTTPS এনক্রিপশন সক্ষম করতে, সরঞ্জামসমূহ> ফিডলার বিকল্পসমূহ> HTTPS (ট্যাব)> "ডিক্রিপ্ট HTTPS ট্র্যাফিক" পরীক্ষা করুন ।

আমি কারও কাছে মার্জিত সমাধানের আশায় এই থ্রেডে নজর রাখছি।

আমি এই একটি উদাহরণ পাওয়া Kubernetes ক্লায়েন্ট যেখানে তারা ব্যবহার করছেন সেটি X509VerificationFlags.AllowUnknownCertificateAuthority ট্রাস্ট স্ব-স্বাক্ষরিত স্ব-স্বাক্ষরিত রুট সার্টিফিকেট করতে। আমি আমাদের PEM এনকোডড রুট শংসাপত্রগুলির সাথে কাজ করার জন্য তাদের উদাহরণটি সামান্যভাবে পুনরায় তৈরি করেছি। আশা করি এটি কাউকে সাহায্য করবে।

namespace Utils
{
  using System;
  using System.Collections.Generic;
  using System.Linq;
  using System.Net.Security;
  using System.Security.Cryptography.X509Certificates;

  /// <summary>
  /// Verifies that specific self signed root certificates are trusted.
  /// </summary>
  public class HttpClientHandler : System.Net.Http.HttpClientHandler
  {
    /// <summary>
    /// Initializes a new instance of the <see cref="HttpClientHandler"/> class.
    /// </summary>
    /// <param name="pemRootCerts">The PEM encoded root certificates to trust.</param>
    public HttpClientHandler(IEnumerable<string> pemRootCerts)
    {
      foreach (var pemRootCert in pemRootCerts)
      {
        var text = pemRootCert.Trim();
        text = text.Replace("-----BEGIN CERTIFICATE-----", string.Empty);
        text = text.Replace("-----END CERTIFICATE-----", string.Empty);
        this.rootCerts.Add(new X509Certificate2(Convert.FromBase64String(text)));
      }

      this.ServerCertificateCustomValidationCallback = this.VerifyServerCertificate;
    }

    private bool VerifyServerCertificate(
      object sender,
      X509Certificate certificate,
      X509Chain chain,
      SslPolicyErrors sslPolicyErrors)
    {
      // If the certificate is a valid, signed certificate, return true.
      if (sslPolicyErrors == SslPolicyErrors.None)
      {
        return true;
      }

      // If there are errors in the certificate chain, look at each error to determine the cause.
      if ((sslPolicyErrors & SslPolicyErrors.RemoteCertificateChainErrors) != 0)
      {
        chain.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;

        // add all your extra certificate chain
        foreach (var rootCert in this.rootCerts)
        {
          chain.ChainPolicy.ExtraStore.Add(rootCert);
        }

        chain.ChainPolicy.VerificationFlags = X509VerificationFlags.AllowUnknownCertificateAuthority;
        var isValid = chain.Build((X509Certificate2)certificate);

        var rootCertActual = chain.ChainElements[chain.ChainElements.Count - 1].Certificate;
        var rootCertExpected = this.rootCerts[this.rootCerts.Count - 1];
        isValid = isValid && rootCertActual.RawData.SequenceEqual(rootCertExpected.RawData);

        return isValid;
      }

      // In all other cases, return false.
      return false;
    }

    private readonly IList<X509Certificate2> rootCerts = new List<X509Certificate2>();
  }
}

আমি অনলাইনে একটি উদাহরণ পেয়েছি যা ভালভাবে কাজ করে বলে মনে হচ্ছে:

প্রথমে আপনি একটি নতুন আইসিটিফিকেটপলসি তৈরি করুন

using System.Security.Cryptography.X509Certificates;
using System.Net;

public class MyPolicy : ICertificatePolicy
{
  public bool CheckValidationResult(ServicePoint srvPoint, X509Certificate certificate, WebRequest request, 
int certificateProblem)
  {
    //Return True to force the certificate to be accepted.
    return true;
  }
}

তারপরে আপনার http অনুরোধটি প্রেরণ করার আগে কেবল এটি ব্যবহার করুন:

System.Net.ServicePointManager.CertificatePolicy = new MyPolicy();

http://www.terminally-incoherent.com/blog/2008/05/05/send-a-https-post-request-with-c/