কীভাবে সমাধান করবেন "কর্তৃপক্ষের সাথে এসএসএল / টিএলএস সুরক্ষিত চ্যানেলের জন্য বিশ্বাসের সম্পর্ক স্থাপন করতে পারেনি"

সত্যই ভেবেছিলাম আমার এই সমস্যাটি ঠিক হয়ে গেছে তবে এটি কেবল আগে ছদ্মবেশ ধারণ করেছিল।

আমার এইচটিটিপিএস ব্যবহার করে আইআইএস 7-তে হোস্ট করা একটি ডাব্লুসিএফ পরিষেবা রয়েছে। আমি যখন ইন্টারনেট এক্সপ্লোরার এই সাইটের ব্রাউজ, এটি একটি যাদুমন্ত্র মত কাজ করে, এই কারণ আমি আছে স্থানীয় মূল শংসাপত্র কর্তৃপক্ষ দোকান থেকে শংসাপত্র এখনো যোগ করেনি।

আমি 1 মেশিনে বিকাশ করছি, তাই ক্লায়েন্ট এবং সার্ভার একই মেশিন। শংসাপত্রটি সরাসরি আইআইএস 7 ম্যানেজমেন্ট স্ন্যাপ ইন থেকে স্ব-স্বাক্ষরিত হয়।

আমি ক্রমাগত এখন এই ত্রুটি পেয়েছি ...

কর্তৃপক্ষের সাথে এসএসএল / টিএলএস সুরক্ষিত চ্যানেলের জন্য বিশ্বাসের সম্পর্ক স্থাপন করতে পারেনি।

... ক্লায়েন্ট কনসোল থেকে কল করা হলে।

আমি ম্যানুয়ালি নিজেকে ব্যবহার findprivatekeyএবং ব্যবহার করে শংসাপত্রটিতে অনুমতি এবং নেটওয়ার্ক পরিষেবা দিয়েছি cacls.exe।

আমি SOAPUI ব্যবহার করে পরিষেবাটির সাথে সংযোগ স্থাপনের চেষ্টা করেছি এবং এটি কাজ করে, তাই এটি অবশ্যই আমার ক্লায়েন্ট অ্যাপ্লিকেশনটিতে একটি সমস্যা হতে পারে, যা এইচটিপি-র সাহায্যে কী ব্যবহৃত হবে তার ভিত্তিতে কোড।

আমি আর কোথায় দেখতে পাচ্ছি যে আমি কেন সংযোগ করতে পারছি না এমন সমস্ত সম্ভাবনা আমি শেষ করে দিয়েছি?

একটি ওয়ার্কঅ্যারাউন্ড হিসাবে আপনি একটি হ্যান্ডলার যোগ করতে পারিনি ServicePointManager'র ServerCertificateValidationCallbackক্লায়েন্ট সাইড করুন:

System.Net.ServicePointManager.ServerCertificateValidationCallback +=
    (se, cert, chain, sslerror) =>
        {
            return true;
        };

তবে সচেতন হন যে এটি কোনও ভাল অনুশীলন নয় কারণ এটি সার্ভার শংসাপত্রকে পুরোপুরি উপেক্ষা করে এবং সার্ভিস পয়েন্ট ম্যানেজারকে বলে যে যে কোনও শংসাপত্রই ঠিক আছে যা ক্লায়েন্টের সুরক্ষাকে গুরুতরভাবে আপস করতে পারে। আপনি এটি পরিমার্জন করতে পারেন এবং কিছু কাস্টম চেকিং করতে পারেন (শংসাপত্রের নাম, হ্যাশ ইত্যাদির জন্য)। অন্তত পরীক্ষার শংসাপত্রগুলি ব্যবহার করার সময় আপনি বিকাশের সময় সমস্যাগুলি সমাধান করতে পারেন।

আমার যখন এই সমস্যা হয় তখন এটি হয় কারণ ক্লায়েন্ট.কনফাইগের এর শেষ পয়েন্টগুলি ছিল:

 https://myserver/myservice.svc 

তবে শংসাপত্রটি আশা করছিল

 https://myserver.mydomain.com/myservice.svc

সার্ভারের এফকিউডিএন মেলে শেষ পয়েন্টগুলি পরিবর্তন করা আমার সমস্যার সমাধান করে। আমি জানি এটি এই সমস্যার একমাত্র কারণ নয়।

প্রথম দুটি লাম্বদা ব্যবহার করুন, তৃতীয়টি নিয়মিত কোড ব্যবহার করে ... আশা করি আপনি এটি সহায়ক বলে মনে করছেন

            //Trust all certificates
            System.Net.ServicePointManager.ServerCertificateValidationCallback =
                ((sender, certificate, chain, sslPolicyErrors) => true);

            // trust sender
            System.Net.ServicePointManager.ServerCertificateValidationCallback
                = ((sender, cert, chain, errors) => cert.Subject.Contains("YourServerName"));

            // validate cert by calling a function
            ServicePointManager.ServerCertificateValidationCallback += new RemoteCertificateValidationCallback(ValidateRemoteCertificate);

    // callback used to validate the certificate in an SSL conversation
    private static bool ValidateRemoteCertificate(object sender, X509Certificate cert, X509Chain chain, SslPolicyErrors policyErrors)
    {
        bool result = false;
        if (cert.Subject.ToUpper().Contains("YourServerName"))
        {
            result = true;
        }

        return result;
    }

আপনার সমস্যা দেখা দিয়েছে কারণ আপনি স্ব-স্বাক্ষরিত কী ব্যবহার করছেন। ক্লায়েন্টটি এই কীটিকে বিশ্বাস করে না, বা কীটি নিজেই যাচাই করার জন্য একটি শৃঙ্খলা বা শংসাপত্র প্রত্যাহার তালিকা সরবরাহ করে না।

আপনার কাছে কয়েকটি বিকল্প রয়েছে - আপনি পারেন

1. ক্লায়েন্টের শংসাপত্রের বৈধতা বন্ধ করুন (খারাপ পদক্ষেপ, মাঝারি আক্রমণে প্রচুর লোক)

2. একটি রুট সিএ তৈরি করতে এবং সেই থেকে শংসাপত্র তৈরি করতে মেকসার্ট ব্যবহার করুন (ঠিক আছে, তবে এখনও কোনও সিআরএল নেই)

3. উইন্ডোজ শংসাপত্র সার্ভার বা অন্যান্য পিকেআই সমাধান ব্যবহার করে একটি অভ্যন্তরীণ রুট সিএ তৈরি করুন তারপরে সেই রুট সার্টটি বিশ্বাস করুন (পরিচালনা করার জন্য কিছুটা ব্যথা)

4. কোনও বিশ্বস্ত সিএ থেকে একটি এসএসএল শংসাপত্র কিনুন (ব্যয়বহুল)

একটি ওয়ান লাইন সমাধান। ক্লায়েন্ট পক্ষের সার্ভার কল করার আগে এটি যে কোনও জায়গায় যুক্ত করুন:

System.Net.ServicePointManager.ServerCertificateValidationCallback += delegate { return true; };

এটি কেবল পরীক্ষার উদ্দেশ্যে ব্যবহার করা উচিত কারণ ক্লায়েন্টটি এসএসএল / টিএলএস সুরক্ষা চেকগুলি এড়িয়ে যাবে।

আমি একই সমস্যার মুখোমুখি হয়েছি এবং এটি দুটি সমাধান দিয়ে সমাধান করতে সক্ষম হয়েছি: প্রথমত, আমি "কম্পিউটার অ্যাকাউন্ট" এর জন্য এমএমসি স্ন্যাপ-ইন "শংসাপত্রগুলি" ব্যবহার করে স্ব-স্বাক্ষরিত শংসাপত্রটিকে "বিশ্বস্ত রুট শংসাপত্র কর্তৃপক্ষসমূহ" ফোল্ডারে টেনে আনি । এর অর্থ স্থানীয় কম্পিউটার (যেটি শংসাপত্র তৈরি করেছে) এখন সেই শংসাপত্রকে বিশ্বাস করবে। দ্বিতীয়ত আমি লক্ষ্য করেছি যে শংসাপত্রটি কিছু অভ্যন্তরীণ কম্পিউটার নামের জন্য তৈরি করা হয়েছিল, তবে অন্য নাম ব্যবহার করে ওয়েব পরিষেবা অ্যাক্সেস করা হচ্ছে। শংসাপত্রটি যাচাই করার সময় এটি একটি অমিলের কারণ ঘটেছে। আমরা কম্পিউটার.অপারশন.লোকালের জন্য শংসাপত্র তৈরি করেছি, তবে https://computer.interndomain.companydomain.com ব্যবহার করে ওয়েব পরিষেবা অ্যাক্সেস করেছি । শংসাপত্র উত্পন্ন করার জন্য আমরা যখন ইউআরএল পরিবর্তন করি তখন আমরা আর ত্রুটি পাই নি।

সম্ভবত কেবল ইউআরএলগুলি স্যুইচ করা কাজ করবে, তবে শংসাপত্রকে বিশ্বস্ত করে আপনি ইন্টারনেট এক্সপ্লোরারে লাল পর্দা এড়িয়ে চলেন যেখানে এটি আপনাকে বলে যে এটি শংসাপত্রকে বিশ্বাস করে না।

আপনি যদি নেট কোর ব্যবহার করেন তবে এটি ব্যবহার করে দেখুন:

client.ClientCredentials.ServiceCertificate.SslCertificateAuthentication =
        new X509ServiceCertificateAuthentication()
        {
            CertificateValidationMode = X509CertificateValidationMode.None,
            RevocationMode = System.Security.Cryptography.X509Certificates.X509RevocationMode.NoCheck
        };

নিম্নলিখিত পদক্ষেপগুলি করুন:

1. আইইতে সার্ভিস লিঙ্কটি খুলুন।

2. অ্যাড্রেস বারে উল্লিখিত শংসাপত্রের ত্রুটিতে ক্লিক করুন এবং দেখুন শংসাপত্রগুলিতে ক্লিক করুন।

3. চেক জারি: নাম।

4. জারি করা নামটি নিন এবং পরিষেবাতে ক্লায়েন্টের এন্ডপয়েন্টের ভিত্তি ঠিকানা ঠিকানার নাম স্থানীয় হস্ট উল্লেখ এবং একটি সম্পূর্ণরূপে যোগ্যতাসম্পন্ন ডোমেন নাম (এফকিউডিএন) এর সাথে প্রতিস্থাপন করুন।

উদাহরণস্বরূপ: https: // লোকালহোস্ট : 203 / নমুনা পরিষেবা: https: // INL-126166-.groupinfra.com : 203 / নমুনা পরিষেবা.সভিসি

উপরের উত্তরগুলি ছাড়াও, আপনি যদি এই ক্লায়েন্টটি ভুল টিএলএস সংস্করণটি চালাচ্ছেন তবে আপনি এই ত্রুটির মুখোমুখি হতে পারেন, উদাহরণস্বরূপ যদি সার্ভারটি কেবল টিএলএস 1.2 চালিত হয়।

আপনি এটি ব্যবহার করে এটি ঠিক করতে পারেন:

// tested in .NET 4.5:
ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12;

আমারও একই সমস্যা ছিল। আমি স্থানীয় দোকানে সিএ শংসাপত্রগুলিও যুক্ত করেছিলাম, তবে আমি WRONG উপায়ে করেছি।

এমএমসি কনসোল (স্টার্ট -> রান -> মিমিসি ) ব্যবহার করে আপনার সার্ভিস অ্যাকাউন্ট (আইআইএসের পরিষেবা অ্যাকাউন্ট নির্বাচন করে) বা কম্পিউটার অ্যাকাউন্ট হিসাবে শংসাপত্র যুক্ত করা উচিত (এটি মেশিনে প্রতিটি অ্যাকাউন্টের জন্য যোগ করে)

আমি যা বলছি তার একটি চিত্র এখানে image

এখান থেকে এখন আপনি সিএ ( বিশ্বস্ত রুট সিএ এবং ইন্টারমিডিয়েট সিএ ) এর শংসাপত্র যুক্ত করতে পারেন এবং সবকিছু ঠিকঠাক কাজ করবে

স্ব-স্বাক্ষরিত শংসাপত্রের সাথে আমারও একই সমস্যা ছিল। আমি সার্ভারের এফকিউডিএন এর মতো শংসাপত্রের নামটি ব্যবহার করে এটি সমাধান করতে পারি।

আদর্শভাবে, এসএসএল অংশটি সার্ভার সাইডে পরিচালনা করা উচিত। ক্লায়েন্টের এসএসএলের জন্য কোনও শংসাপত্র ইনস্টল করার প্রয়োজন নেই। এছাড়াও, ক্লায়েন্ট কোড থেকে এসএসএলকে বাইপাস করার বিষয়ে উল্লেখ করা কিছু পোস্ট mentioned তবে আমি এর সাথে পুরোপুরি একমত নই।

আমি কেবলমাত্র "বিশ্বস্ত রুট শংসাপত্র কর্তৃপক্ষগুলি" ফোল্ডারে শংসাপত্রটি টেনে নিয়েছি এবং ভয়েলা সবকিছু সুন্দরভাবে কাজ করেছে।

উহু. এবং আমি প্রথমে প্রশাসক কমান্ড প্রম্পট থেকে নিম্নলিখিতগুলি যুক্ত করেছি:

netsh http add urlacl url=https://+:8732/Servicename user=NT-MYNDIGHET\INTERAKTIV

আপনার ব্যবহারকারীর যে নামটি প্রয়োজন তা সম্পর্কে আমি নিশ্চিত নই (আপনি দেখতে দেখতে আমার নরওয়েজিয়ান!) : user=NT-AUTHORITY/INTERACTIVE?

কমান্ড জারি করে আপনি সমস্ত বিদ্যমান urlacl's দেখতে পাবেন: netsh http show urlacl

WCF পরিষেবাটির মাধ্যমে সংযোগ দেওয়ার চেষ্টা করার সময় এটি ঘটেছিল। আইপি যেমন https://111.11.111.1:port/MyService.svcকোনও নামের সাথে আবদ্ধ শংসাপত্র ব্যবহার করার সময় যেমন mysite.com।

এটি https://mysite.com:port/MyService.svcসমাধান করা স্যুইচিং ।

কেবলমাত্র হোস্ট নাম যেমন https: //host/MyService.svc ব্যবহার করে ডাব্লুসিএফ পরিষেবাটিতে সংযুক্ত করার চেষ্টা করার সময় এই ঘটনাটি ঘটেছিল যেমন নামের সাথে আবদ্ধ শংসাপত্র ব্যবহার করে host

Https://host.mysite.com/MyService.svc এ স্যুইচ করা এবং এটি এটি সমাধান করেছে।

সবেমাত্র একটি অনুরূপ ইস্যু ঠিক করা হয়েছে।

আমি বুঝতে পেরেছিলাম যে আমার কাছে এমন একটি অ্যাপ্লিকেশন পুল রয়েছে যা একটি অ্যাকাউন্টের অধীনে চলছিল যা কেবলমাত্র এটি ব্যবহার করা হয়েছিল এমন শংসাপত্রের উপর পড়ার অনুমতি পেয়েছিল।

.NET অ্যাপ্লিকেশনটি শংসাপত্রটি সঠিকভাবে পুনরুদ্ধার করতে পারে তবে এই ব্যতিক্রমটি তখনই ফেলে দেওয়া হয়েছিল যখন getRequestStream () কল করা হয়েছিল was

শংসাপত্রের অনুমতিগুলি এমএমসি কনসোলের মাধ্যমে পরিচালনা করা যায়

আপনি যদি নেট নেট ব্যবহার করে থাকেন তবে উন্নয়নের সময় আপনি সংকলক নির্দেশিকা ব্যবহার করে শংসাপত্রের বৈধতাটি বাইপাস করতে পারেন। এই উপায়টি কেবলমাত্র মুক্তির জন্য শংসাপত্রকে বৈধতা দেবে এবং ডিবাগের জন্য নয়:

#if (DEBUG)
        client.ClientCredentials.ServiceCertificate.SslCertificateAuthentication =
                new X509ServiceCertificateAuthentication()
                {
                    CertificateValidationMode = X509CertificateValidationMode.None,
                    RevocationMode = System.Security.Cryptography.X509Certificates.X509RevocationMode.NoCheck
                };   #endif

এটি আপনার ক্লায়েন্ট কোডে যুক্ত করুন:

ServicePointManager.ServerCertificateValidationCallback = new RemoteCertificateValidationCallback(
    delegate
    {
        return true;
    });