普通用户的“身份验证失败，因为远程方已关闭传输流”

Posted 2023-04-13

【中文标题】普通用户的“身份验证失败，因为远程方已关闭传输流”

【英文标题】："Authentication failed because the remote party has closed the transport stream" for normal users

【发布时间】：2017-06-27 23:09:49

【问题描述】：

第三方供应商正在添加身份验证（耶！），但它并不总是适合我们（嘘！）。

当 C# 应用程序“以管理员身份”运行时，它工作正常。但是，当应用程序以普通（非管理员）用户身份运行时，它会失败并显示消息

“验证失败，因为对方已经关闭了传输流”

我们明确设置为 TLS 1.2

ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12;

我们是

执行 4.6 .NET C# WCF 客户端 使用 HTTPS Web 服务 使用 TLS1.2 在 Windows Server 2012 平台上

【问题讨论】：

您与第三方供应商谈过吗？这是他们的代码，所以他们最有能力回答任何问题。

他们不知道。他们指出了我们的环境中的某些东西，因为它在以 ADMIN 用户身份运行但不能以任何其他用户身份运行时工作。

【参考方案1】：

我们在Getting "Could not establish secure channel for SSL/TLS with authority" even though ServerCertificateValidationCallback returns true 和winhttpcertcfg giving access to IIS user in Windows 7 的帮助下也解决了这个问题。

问题是为“计算机”帐户的受信任的人安装了证书。在管理员模式下运行或作为具有管理员权限的用户运行时，它运行良好。但是，当作为我们的“服务帐户”运行时（用引号引起来，因为它不是真正的服务帐户）——服务帐户没有读取证书的权限。

我们发现深入C:\ProgramData\Microsoft\crypto\rsa\machinekeys 目录并更改相应证书的读取权限是可行的。

我们不喜欢使用icacls 更改已安装证书的读取权限的建议解决方案（部分原因是实际找到正确的证书条目是一项艰巨的任务。）

我们发现我们可以将mmc.exe 作为服务帐户 运行，然后将其安装到该帐户的受信任的人 级别。 那么我们的非管理员应用程序可以读取证书并建立连接。

【讨论】：

很高兴您发现了问题。并感谢您分享答案 - 这将帮助人们走在路上:)

【参考方案2】：

这可能与 OP 的原始问题不同，但我的问题是我的 IIS 应用程序使用 Windows Auth Impersonation，因此它试图使用模拟用户访问 C:\ProgramData\Microsoft\crypto\rsa\machinekeys 中的证书文件没有权利这样做。

我更改了设计以关闭模拟，此问题不复存在。