当 SMTP 服务器具有有效证书时,获取“根据验证程序,远程证书无效”
Posted
技术标签:
【中文标题】当 SMTP 服务器具有有效证书时,获取“根据验证程序,远程证书无效”【英文标题】:Getting "The remote certificate is invalid according to the validation procedure" when SMTP server has a valid certificate 【发布时间】:2014-11-24 01:57:27 【问题描述】:这似乎是一个常见错误,但虽然我找到了解决方法(见下文),但我无法确定我首先得到它的原因。
我正在将 SMTP 功能写入我们的应用程序,并尝试将 SSL 功能添加到我们已有的工作 SMTP 中。
我正在使用我们公司的 MS Exchange 服务器进行测试,特别是在该服务器上启用了 webmail 选项。我可以通过我的代码在内部发送电子邮件,方法是不验证我的连接并匿名发送,但是由于我们公司的政策,这些电子邮件不会中继到外部电子邮件地址。除此之外,我正在为我们的客户进行编程,他们并不都允许开放中继和/或匿名连接。
我相信 Exchange 服务器正在使用显式 SSL/TLS。我已经尝试通过 25 端口 telnet 到服务器的地址,并得到一个文本响应,人类可读的响应,根据我之前的一些搜索,这意味着它正在使用显式 SSL/TLS。
我有以下测试代码
SmtpClient SMTPClient = new SmtpClient(webmailaddress);
SMTPClient.Port = 25;
SMTPClient.UseDefaultCredentials = true;
SMTPClient.EnableSsl = true;
System.Net.Mail.MailMessage Message = new `
System.Net.Mail.MailMessage(emailFrom,emailTo,subject,body);
SMTPClient.Send(Message);
在寻找解决方案的过程中,我遇到了这个"The remote certificate is invalid according to the validation procedure." using Gmail SMTP server
我从中得到了以下代码...
ServicePointManager.ServerCertificateValidationCallback = new RemoteCertificateValidationCallback(ValidateServerCertificate);
public static bool ValidateServerCertificate(object sender,X509Certificate certificate,X509Chain chain,SslPolicyErrors sslPolicyErrors)
if (sslPolicyErrors == SslPolicyErrors.None)
return true;
else
if (System.Windows.Forms.MessageBox.Show("The server certificate is not valid.\nAccept?", "Certificate Validation", System.Windows.Forms.MessageBoxButtons.YesNo, System.Windows.Forms.MessageBoxIcon.Question) == System.Windows.Forms.DialogResult.Yes)
return true;
else
return false;
这适用于我的测试代码。但是我正在编写的实际过程(而不是我的测试代码)将在后台运行,并且不能真正询问用户(而是在 Windows 错误日志中报告错误)。
刚开始时,我的问题就是为什么我会收到这个错误。如果我在浏览器中访问 https:webmail.ourdomain.co.uk,它会显示一个有效的证书,并且没有安装证书的选项(如果它是自签名证书我会这样做)。
但是,当我运行我的代码时,在 ValidateServerCertificate 方法中有一个调试中断,我查看证书值并看到我们本地服务器的颁发者和“之前不要使用”和“之后不要使用”属性今天。这与我获得的证书不符。
我还检查了 ValidateServerCertificate 调试中的 sslPolicyErrors 标志,它们显示“RemoteCertificateChainErrors”和“RemoteCertificateNameMismatch”。
那么我错过了什么......为什么它没有使用正确的证书?如果我需要采取一些步骤来在本地安装证书以供其使用,那么我需要了解这些步骤,这样我才能告诉我的客户如果他们得到了该怎么做。
我不想通过从 ValidateServerCertificate 方法返回 true 来绕过检查,因为它是一个后台进程,我无法询问用户,所以我需要了解如何让我的代码使用正确/可信的证书。
希望有人可以提供建议。
【问题讨论】:
好吧,我想没有人知道这个问题的答案。还没找到解决办法:( 【参考方案1】:我终于找到的答案是服务器上的SMTP服务没有使用与https相同的证书。
diagnostic steps I had read here 假设他们使用相同的证书,并且每次我过去尝试过,他们都这样做了,而诊断步骤正是我为解决问题多次所做的。
在这种情况下,这些步骤不起作用,因为使用的证书不同,而这种可能性是我从未遇到过的。
解决方案是从服务器导出实际证书,然后将其作为可信证书安装在我的机器上,或者为服务器上的 SMTP 服务获取不同的有效/可信证书。目前由我们的 IT 部门负责管理服务器来决定他们想要做什么。
【讨论】:
【参考方案2】:旧帖子,但正如您所说“为什么不使用正确的证书”,我想提供一种方法来找出需要 openssl 的 SMTP 使用的 SSL 证书(请参阅here):
openssl s_client -connect exchange01.int.contoso.com:25 -starttls smtp
这将概述用于 SMTP 服务的 SSL 证书。根据您在此处看到的内容,您可以用正确的证书替换错误的证书(就像您已经做的那样)(或手动信任证书)。
【讨论】:
【参考方案3】:旧帖子,但我想我会分享我的解决方案,因为这个问题没有很多解决方案。
如果您运行的是旧的 Windows Server 2003 计算机,则可能需要安装修补程序 (KB938397)。
出现此问题是因为 Windows 中的 Cryptography API 2 (CAPI2) Server 2003 不支持 SHA2 系列散列算法。 CAPI2 是 Cryptography API 中处理证书的部分。
https://support.microsoft.com/en-us/kb/938397
无论出于何种原因,Microsoft 都希望通过电子邮件向您发送此修补程序,而不是允许您直接下载。这是电子邮件中的修补程序的直接链接:
http://hotfixv4.microsoft.com/Windows Server 2003/sp3/Fix200653/3790/free/315159_ENU_x64_zip.exe
【讨论】:
以上是关于当 SMTP 服务器具有有效证书时,获取“根据验证程序,远程证书无效”的主要内容,如果未能解决你的问题,请参考以下文章
SMTP - SSL 证书问题 - C# - 为啥此代码有效?