在 Service Fabric 中通过 HTTPS 调用 WCF：请求被中止：无法创建 SSL/TLS 安全通道

Posted 2023-03-27

【中文标题】在 Service Fabric 中通过 HTTPS 调用 WCF：请求被中止：无法创建 SSL/TLS 安全通道

【英文标题】：Calling WCF over HTTPS in Service Fabric : The request was aborted: Could not create SSL/TLS secure channel

【发布时间】：2017-09-14 08:30:04

【问题描述】：

我正在通过 HTTPS 调用 WCF 服务。 => 证书没问题。见截图：

客户端证书安装在我的帐户和本地计算机下。 两者均可导出。

所以我有一段代码可以在控制台应用程序中运行。当我在网络服务下运行控制台应用程序时，服务调用有效。

当我将此代码粘贴到 StatefullService（服务结构内部）中时，我收到以下异常。

我已经在控制台应用程序和服务 fabcric 中验证了 ServicePointManager.SecurityProtocol 它是 System.Net.SecurityProtocolType.Tls | System.Net.SecurityProtocolType.Tls11 | System.Net.SecurityProtocolType.Tls12。

“System.ServiceModel.Security.SecurityNegotiationException：无法为 SSL/TLS 建立安全通道，权限为 '********.cloudapp.azure.com'。---> System.Net.WebException：请求已中止：无法创建 SSL/TLS 安全通道。\r\n 在 System.Net.HttpWebRequest.GetResponse()\r\n 在 System.ServiceModel.Channels.HttpChannelFactory1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)\r\n --- End of inner exception stack trace ---\r\n\r\nServer stack trace: \r\n at System.ServiceModel.Channels.HttpChannelUtilities.ProcessGetResponseWebException(WebException webException, HttpWebRequest request, HttpAbortReason abortReason)\r\n at System.ServiceModel.Channels.HttpChannelFactory1.HttpRequestChannel.HttpChannelRequest.WaitForReply (TimeSpan 超时)\r\n 在 System.ServiceModel.Channels.RequestChannel.Request(消息消息，TimeSpan 超时)\r\n 在 System.ServiceModel.Dispatcher.RequestChannelBinder.Request(消息消息，TimeSpan 超时)\r\n在 System.ServiceModel.Channels.ServiceChannel.Call（字符串操作，布尔单向，ProxyOperationRuntime 操作，Object[] 输入，Object[] 输出，TimeSpan 超时）\r\n 在 System.ServiceModel.Channels.ServiceChannelProxy.InvokeService（IMethodCallMessage methodCall , ProxyOperationRuntime 操作)\r\n 在 System.ServiceModel.Channels.ServiceChannelProx y.Invoke(IMessage 消息)\r\n\r\n在 [0] 处重新抛出异常：\r\n 在 System.Runtime.Remoting.Proxies.RealProxy.HandleReturnMessage(IMessage reqMsg, IMessage retMsg)\r\n 在 System .Runtime.Remoting.Proxies.RealProxy.PrivateInvoke（MessageData& msgData，Int32 类型）\r\n 在 **************************** ******\r\n 在 ************************************ 在 ***** ******************.cs:第 75 行\r\n 在 ********************** * 在 ***********************.cs:line 34\r\n at *************** ******** in *************************.cs:line 20"

代码如下

            var binding = new BasicHttpBinding();
            binding.Security.Mode = BasicHttpSecurityMode.Transport;
            binding.Security.Transport = new HttpTransportSecurity
            
                ClientCredentialType = HttpClientCredentialType.Certificate,
            ;
            string endpoint = "https://********.cloudapp.azure.com/*****/SomeService.svc";
            var endpoint1 = new EndpointAddress(endpoint);

            var factory = new ChannelFactory(binding, endpoint);

            var clientCredentials = new ClientCredentials();
            clientCredentials.ClientCertificate.SetCertificate("CN=my-cn-name",
                System.Security.Cryptography.X509Certificates.StoreLocation.LocalMachine,
                System.Security.Cryptography.X509Certificates.StoreName.My);

            if (factory.Endpoint.EndpointBehaviors.Contains(typeof(ClientCredentials)))
            
                factory.Endpoint.EndpointBehaviors.Remove(typeof(ClientCredentials));
            

            factory.Endpoint.EndpointBehaviors.Add(clientCredentials);

            var channel = factory.CreateChannel();

            try
            
                var result = channel.GetData(1);

                Console.WriteLine("Success");
                Console.ReadLine();
            
            catch (Exception e)
            
                Console.WriteLine(e);
                Console.ReadLine();
            

我在服务结构中通过 HTTPS 调用 WCF 服务时缺少什么？ 如果我禁用 HTTPS 协议并在现有 WCF 服务上启用 HTTP 协议，我可以连接。但出于显而易见的原因，我们需要 HTTPS。

编辑 1

测试：

使用 HttpClient 和 WebRequestHandler 作为 GET 调用服务来接收 html，这也适用于控制台应用程序。不在服务结构中。 从我的个人商店中删除了证书。控制台应用程序继续工作，因为它使用本地机器存储（参见上面的代码示例） 在邮递员中通过 HTTPS 执行肥皂请求有效。

编辑 2

按照这个答案https://serverfault.com/a/132791/135762（用于网络服务）使其工作。

【参考方案1】：

问题是网络服务帐户没有正确的访问权限来访问证书的私钥。

您可以通过两种方式解决此问题。

第一个使用 powershell 和 setup.bat 来安装和配置证书。

在您的服务结构服务中，将 Setup.bat 添加到项目的根目录中。 编辑服务清单并添加setup entry point

<ExeHost> <Program>Setup.bat</Program> <WorkingFolder>CodePackage</WorkingFolder> </ExeHost>

bat 文件可能应该以更高的信任度运行。您可以在 Application Manifest 中添加以下内容 ServiceManifestImport 内部：

<Policies> <RunAsPolicy CodePackageRef="Code" UserRef="SetupAdminUser" EntryPointType="Setup" /> </Policies>

在应用程序清单的底部（在 xml 的根目录中）添加以下内容以管理员身份运行。 <Principals> <Users> <User Name="SetupAdminUser"> <MemberOf> <SystemGroup Name="Administrators" /> </MemberOf> </User> </Users> </Principals>

bat文件很简单： powershell.exe -ExecutionPolicy Bypass -Command ".\Scripts\Install-Certificates.ps1"

powershell 脚本可以是这样的

$pwd = ConvertTo-SecureString -String "YourPassword" -Force -AsPlainText

function Set-CertificatePermission

 param
 (
    [Parameter(Position=1, Mandatory=$true)]
    $cert ,

    [Parameter(Position=2, Mandatory=$true)]
    [ValidateNotNullOrEmpty()]
    [string]$serviceAccount
 )


 # Specify the user, the permissions and the permission type
 $permission = "$($serviceAccount)","Read,FullControl","Allow"
 $accessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $permission;

 # Location of the machine related keys
 $keyPath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys\";
 $keyName = $cert.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName;
 $keyFullPath = $keyPath + $keyName;

 try
 
    # Get the current acl of the private key
    $acl = (Get-Acl $keyFullPath)

    # Add the new ace to the acl of the private key
    $acl.AddAccessRule($accessRule);

    # Write back the new acl
    Set-Acl -Path $keyFullPath -AclObject $acl;
 
 catch
 
    throw $_;
 


function Install-RootCA($path)
    Write-Host "Installing root certificate"

    Import-PfxCertificate -FilePath $path -CertStoreLocation "Cert:\LocalMachine\Root" -Password $pwd -Exportable


function Install-Certificate($path)
    Write-Host "Installing certificate"

     $cert = Import-PfxCertificate -FilePath $path -CertStoreLocation "Cert:\LocalMachine\My" -Password $pwd -Exportable
     Set-CertificatePermission $cert "NT AUTHORITY\NETWORK SERVICE"




Install-RootCA ".\Certificates\CARoot.pfx"
Install-Certificate ".\Certificates\ClientCert.pfx"

这将在受信任的根存储中安装证书（因为我们使用自签名证书）并在计算机帐户的个人存储中安装证书。 Service Fabric 的重要一点是它还为网络服务设置了正确的私钥访问权限。

第二种方法：使用mmc手动

按 Windows 键 + R 键入 mmc 文件 => 添加/删除 Snappin 添加证书 选择计算机帐户 右键单击受信任的根证书颁发机构\证书 导入根证书 *.pfx（标记为可导出） 右键单击 Personal\Certificates 导入客户端证书 *.pfx（标记为可导出） 右键单击导入的客户端证书：所有任务 => 管理私钥 将网络服务添加为用户并赋予其完全控制权

【参考方案2】：

第三种方法比上述方法更简单，应该适用于 WCF。如果这个服务是在Network Service账号下运行的，那么你可以像这样在服务Endpoint声明中加入“protocol=https”，这样就可以做acling了；

<Resources>
  <Endpoints>
  <Endpoint Name="ServiceEndpoint" Protocol="https" />
</Endpoints>

您可以选择将证书返回给客户端，并在不同的安全权限下运行此服务。更多详情请看这里https://docs.microsoft.com/en-us/azure/service-fabric/service-fabric-application-runas-security#assign-a-security-access-policy-for-http-and-https-endpoints