我使用一个带有自签名证书的SAP docker容器中的C# ASP.NET Core 3.1服务来使用OData服务。与此同时,我尝试了数千种方法,但错误仍然存在。
系统.InvalidOperationException: 在处理此请求时出现错误。mdt2oowvsap_1 | --->System.Data.Services.Client.DataServiceTransportException: SSL连接无法建立,请参见内部异常。根据验证程序,远程证书无效。
即使使用HttpClientHandler.ServerCertificateCustomValidationCallback并直接返回true等不安全的解决方案,也没有改变任何事情。
最后一次尝试是将证书下载并使用ClientCertificates.Add提供给HttpClientHandler,但没有成功。
使用curl时,传递这个证书文件是有效的。
系统.InvalidOperationException: 在处理此请求时出现错误。mdt2oowvsap_1 | --->System.Data.Services.Client.DataServiceTransportException: SSL连接无法建立,请参见内部异常。根据验证程序,远程证书无效。
即使使用HttpClientHandler.ServerCertificateCustomValidationCallback并直接返回true等不安全的解决方案,也没有改变任何事情。
public MyService()
{
:
handler = new HttpClientHandler()
{
Credentials = new NetworkCredential(Username, Password, Domain),
PreAuthenticate = true,
ServerCertificateCustomValidationCallback = (message, cert, chain, sslPolicyErrors) =>
{
if (sslPolicyErrors == SslPolicyErrors.None)
{
logger.LogDebug($"No SSL policy errors!");
return true; //Is valid
}
logger.LogDebug($"Get certificate hash: {cert.GetCertHashString()}");
// From: https://dev59.com/EnE85IYBdhLWcg3wpFSu
if (!String.IsNullOrEmpty(certificateHash) && cert.GetCertHashString().Equals(certificateHash))
{
// Get hash string via: openssl s_client -connect <host>:<port> < /dev/null 2>/dev/null | openssl x509 -fingerprint -noout -in /dev/stdin
// see: https://dev59.com/-2435IYBdhLWcg3w3EIi
logger.LogDebug($"Using certificate hash: {certificateHash}");
return true;
}
return false;
},
UseCookies = true,
CookieContainer = cookieContainer
};
String[] files = Directory.GetFiles("./certs/", "*.*", SearchOption.TopDirectoryOnly);
logger.LogInformation($"Found {files.Length} certificate files");
// see: https://dev59.com/f1kS5IYBdhLWcg3wVlXC
foreach (string cfile in files)
{
try
{
logger.LogDebug($"Try adding {cfile} as trusted client certificate...");
handler.ClientCertificates.Add(new X509Certificate2(Path.GetFullPath(cfile)));
}catch(Exception e)
{
logger.LogInformation($"Exception while adding certificate file {cfile} to 'ClientCertificates'");
logger.LogError(e.ToString());
}
}
httpClient = new HttpClient(handler);
:
}
最后一次尝试是将证书下载并使用ClientCertificates.Add提供给HttpClientHandler,但没有成功。
使用curl时,传递这个证书文件是有效的。
$> curl --location --request GET 'https://customer.de:1234/sap/opu/odata/something/useful_srv' \
--header 'Authorization: Basic ABCDEFGHIJKLMNOPQRST='
curl: (60) SSL certificate problem: self signed certificate
More details here: https://curl.haxx.se/docs/sslcerts.html
:
$> echo -n | openssl s_client -connect customer.de:1234 -servername customer.de | \
openssl x509 > /full/path/to/customer.cert
depth=0 CN = customer.de
verify error:num=18:self signed certificate
verify return:1
depth=0 CN = customer.de
verify return:1
DONE
$>
$> curl --location --cacert '/full/path/to/customer.cert' --request GET \
'https://customer.de:1234/sap/opu/odata/something/useful_srv' \
--header 'Authorization: Basic ABCDEFGHIJKLMNOPQRST='
<?xml version="1.0" encoding="utf-8"?><app:service xml:lang="de" xml:base="https:blablabla.../></app:service>
$> _
大家还有其他的想法吗?
已查看的解决方案(不完整):
- c-sharp-ignore-certificate-errors
- 将客户端证书添加到.NET Core HttpClient
- 使用HttpClient允许不受信任的SSL证书
- 如何在Docker镜像中添加CA Root证书
- SSL连接无法建立
- C# Core 3.1出现错误消息“SSL连接无法建立”
- WebApp和WebAPI ASP Core之间的SSL连接无法建立
- 如何解决“SSL连接无法建立”问题,查看内部异常以获取详细信息
提前感谢。