asp.net在IIS环境中访问第三方需数字证书接口时 报 “请求被中止: 未能创建 SSL/TLS 安全通道”

最新推荐文章于 2025-09-23 16:33:36 发布
原创 最新推荐文章于 2025-09-23 16:33:36 发布 · 8.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了解决IIS环境中因SSL证书授权问题导致的请求失败的方法。通过导入证书并使用winhttpcertcfg工具授权给正确的账户,修改代码以从证书存储中加载证书。

最近做一个网站,需要访问第三方的接口(访问接口需要数字证数 *.pfx  文件),在VS环境下运行时完全正常,但放到IIS上就报"请求被中止: 未能创建 SSL/TLS 安全通道"、 “The request was aborted: Could not create SSL/TLS secure channel”。在网上找好久终于找到方法,在此与大家分享下,希望对遇到同样问题的 程序猿 有所帮助。


前题引如下以类库

using System.IO;
using System.Net;
using System.Net.Security;
using System.Security.Cryptography.X509Certificates;


最初完整源码如下:

    /// <summary>
    /// xxx
    /// </summary>
    /// <param name="xmlStr">xxx</param>
    /// <returns></returns>

   private string xmlSubject(string xmlStr)

    {

        string retXml = "";
        ServicePointManager.Expect100Continue = true;
        ServicePointManager.SecurityProtocol = SecurityProtocolType.Ssl3;   //SSL3协议替换成TLS协议
        ServicePointManager.ServerCertificateValidationCallback = new RemoteCertificateValidationCallback(CheckValidationResult);
        HttpWebRequest httpRequest = (HttpWebRequest)WebRequest.Create("https://xxxxxxx");
        
        X509Certificate cerCaiShang = new X509Certificate(“D:\Work\xxx.pfx”, "123456", X509KeyStorageFlags.MachineKeySet);
        httpRequest.ClientCertificates.Add(cerCaiShang);
        httpRequest.Method = "POST";
        httpRequest.ContentType = "application/x-www-form-urlencoded";
       
        byte[] payload = System.Text.Encoding.UTF8.GetBytes(xmlStr);                                    
        httpRequest.ContentLength = payload.Length;                                                 

        using (Stream writer = httpRequest.GetRequestStream())                                          
        {
            writer.Write(payload, 0, payload.Length);                                                 
            HttpWebResponse response = (HttpWebResponse)httpRequest.GetResponse();               
            using (StreamReader srd = new StreamReader(response.GetResponseStream(), System.Text.Encoding.Default))
            {
                retXml = srd.ReadToEnd();              //读取文件流
                retXml = retXml.Replace("&lt;", "<");  //特殊字符处理
                retXml = retXml.Replace("&gt;", ">");  //特殊字符处理
            }
            response.Close();
        }
        return retXml;

   }


    /// <summary>
    /// 回调方法
    /// </summary>
    /// <param name="sender"></param>
    /// <param name="certificate"></param>
    /// <param name="chain"></param>
    /// <param name="errors"></param>
    /// <returns></returns>
    public static bool CheckValidationResult(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors errors)
    {
        //为了通过证书验证,总是返回true
        return true;
    }


以上源码在VS环境 及 WinForm 程序中运行完全正常,但在IIS上就报  "请求被中止: 未能创建 SSL/TLS 安全通道",   经查找资料才知是 IIS 受权问题

解决办法及步骤如下:

1.将客户端证书文件导入到  本地计算机账户  下的个人存储区。

2.下载winhttpcertcfg.exe 这个工具,下载地址:http://www.microsoft.com/en-us/download/details.aspx?id=19801

3.安装后 进入cmd 执行:

    a. cd C:\Program Files\Windows Resource Kits\Tools  

    b. winhttpcertcfg -g -c LOCAL_MACHINE\MY -s "test" -a "NetworkService"


第1点中 导入证书方法如下:

将客户端的证书+私钥(pfx 或p12 文件),导入到操作系统(windows)的相关证书区域,步骤:
    Windows xp/2003
        1. 单击 开始 ,单击 运行 ,键入 mmc ,然后单击 确定 。
        2. 在 文件 菜单上单击 添加/删除管理单元 。
        3. 在 添加/删除管理单元 对话框中,单击 添加 。
        4. 在 添加独立管理单元 对话框单击 证书 ,然后单击 添加 。
        5. 在在 证书管理单元中 对话框中单击 计算机帐户 ,然后单击 下一步
        6. 在 选择计算机 对话框中,单击 完成 。
        7. 在 添加独立管理单元 对话框单击 关闭 ,然后单击 确定 。
        8. 展开 证书 (本地计算机) ,展开 个人 ,然后单击 证书 。
        9. 右键 -》 所有任务-》导入 选择你的证书导入
    Windows 7
        1. 单击 开始 ,单击 运行 ,键入 mmc ,然后单击 确定 。
        2. 在 文件 菜单上单击 添加/删除管理单元 。
        3. 在 可用的管理单元 列表中选择 证书 ,点击 添加 。
        4. 在 证书管理 对话框中选择 计算机账户 ,然后单击 下一步
        5. 在 选择计算机 对话框中,单击 完成 。
        6. 在 添加或删除管理单元 对话框单击 确定 。
        7. 展开 证书 (本地计算机) ,展开 个人 ,然后单击 证书 。
        8. 右键 -》 所有任务-》导入 选择你的证书导入


第3点中的参数含义:
-g 是grant授权的意思,将该证书的使用权限授予某个用户
-c 是certstore证书存储区,指定 本地计算机/当前用户下的证书存储区位置,我们这里是MY,个人存储区
-s 是subjectstr 用于模糊匹配证书的一个字符串,我们这里用证书文件名 test
-a 是account要授权的用户帐号

这里要注意的是授权账户,IIS6下面一般用的是NetworkService,如果你用的IIS7,必须要保证你网站所用的 应用程序池的 "标识"和要授权的账户一致。其它版本不用设置


执行成功之后,会列出模糊匹配出的证书列表和已经授权的账户.
然后程序代码做如下更改:

   private string xmlSubject(string xmlStr)

    {
        string retXml = "";
        ServicePointManager.Expect100Continue = true;
        ServicePointManager.SecurityProtocol = SecurityProtocolType.Ssl3;
        ServicePointManager.ServerCertificateValidationCallback = new RemoteCertificateValidationCallback(CheckValidationResult);
        HttpWebRequest httpRequest = (HttpWebRequest)HttpWebRequest.Create("https://xxxxxxx");

        X509Store certStore = new X509Store(StoreName.My, StoreLocation.LocalMachine);
        certStore.Open(OpenFlags.ReadOnly);
        X509Certificate2Collection certCollection = certStore.Certificates.Find(X509FindType.FindBySubjectName, "xxx", false);

        httpRequest.ClientCertificates.Add(certCollection[0]);
        httpRequest.Method = "POST";
        httpRequest.ContentType = "application/x-www-form-urlencoded";
      
        byte[] payload = System.Text.Encoding.UTF8.GetBytes(xmlStr);                              
        httpRequest.ContentLength = payload.Length;                                                
        using (Stream writer = httpRequest.GetRequestStream())                                           
        {
            writer.Write(payload, 0, payload.Length);                                                  
            HttpWebResponse response = (HttpWebResponse)httpRequest.GetResponse();                
            using (StreamReader srd = new StreamReader(response.GetResponseStream(), System.Text.Encoding.Default))
            {
                retXml = srd.ReadToEnd();              //读取文件流
                retXml = retXml.Replace("&lt;", "<");  //特殊字符处理
                retXml = retXml.Replace("&gt;", ">");  //特殊字符处理
            }
            response.Close();
        }
        return retXml;

    }


更改后在VS 及 IIS中运行 OK ,问题圆满解决。

redmapleleaf25
关注
解决无法建立SSL / TLS安全通道(The request was aborted: Could not create SSL/TLS secure channel)的问题
Sunsame_Wei的博客
12-23 1万+
解决无法建立SSL / TLS安全通道(The request was aborted: Could not create SSL/TLS secure channel)的问题,未包含"Tls11"的定义,未包含"Tls12"的定义
web3去中心化
aming小老弟
11-14 1560
以以太坊(Ethereum)为主流,也包括Solana、Aptos等其他非EVM链。区块链本身是软件,要运行在一系列节点上,这些节点组成P2P网络或者半中心化网络。节点不仅负责接收新的输入并生成新的区块,还要存储区块链运行产生的所有数据,并负责同步、对外提供查询等RPC服务。
有什么 python 在线网站推荐?
隔壁王叔的博客
04-07 4830
有什么 python 在线网站推荐?
.net 4.8 解决错误提示:The request was aborted: Could not create SSL/TLS secure channel
最新发布
weixin_41072238的博客
09-23 213
今天做了一个工程,发现使用post方法获取服务商远程接口,在.net8 webapi下正常,而迁移部分函数到 .net framework4.8后始终上述错误。Net 4.8 解决错误提示:The request was aborted: Could not create SSL/TLS secure channel。经过翻阅尝试增加 设置TLS版本,最后有效。希望可以帮助到要的同学。
请求中止: 未能创建 SSL/TLS 安全通道
lied1663634806的博客
06-29 1万+
这是因为.NET Framework 4.6及以上版本对SSL/TLS的支持有所改进,能够更好地处理新的安全协议。如果你的本地开发环境是Windows 10,可能不会遇到这个问题,因为Windows 10通常支持较新的安全协议。但是,如果你的服务器环境是较旧的Windows Server 2008,可能要升级.NET Framework以兼容新的安全协议。解决这个问题的方法主要包括更新.NET Framework版本和确保客户端启用了与服务器匹配的安全协议。工具来完成,该工具允许你管理证书的授权和存储。
https网站访问第三方https网站错: The request was aborted:Could not create SSL/TLS secure channel....
kevin860的博客
01-04 2156
https网站访问第三方https网站错: The request was aborted:Could not create SSL/TLS secure channel. 解决办法: if(Url.StartsWith("https",StringComparison.OrdinalIgnoreCase))//https请求 { ...
gmailc2:一款基于Google SMTP的完全无法检测的C2服务器
qq_53058639的博客
07-24 1663
1、持久化;2、支持Shell访问;3、查看系统信息;4、…
HttpWebRequest post IIS 502
08-14
在部署到 IISASP.NET 应用中,若涉及通过证书访问 HTTPS 接口,可能会出现 `WebException`,提示“请求中止未能创建 SSL/TLS 安全通道”,或者 `X509Store.Find` 方法返回空集合。这通常是因为 IIS 使用的...
java x509certificate2_ASP.NET使用X509Certificate2出现一系列问题的解决方法
weixin_33110093的博客
02-27 977
在做微信支付退款的候,由于要使用到p12证书,结果就遇到一系列的坑。这里做个记录方便以后查阅。原先加载证书的代码:1 X509Certificate2 cert = new X509Certificate2(path + WxPayConfig.SSLCERT_PATH, WxPayConfig.SSLCERT_PASSWORD);2 Request.ClientCertificates.Ad...
软件设计师近10年上午真题解析知识点(并非绝对完整版)
qq_44858224的博客
10-31 2836
2009下半年 计算机硬件组成 1、CPU是计算机的控制中心,它的组成部分:运算器、控制器、寄存器组和内部总线 2、控制器用于协调和指挥整个计算机系统,它的组成部分:程序计数器(PC)、指令寄存器、指令译码器、序产生器和操作控制器 3、程序寄存器是专用寄存器,具备寄存信息和技术两种功能 指令系统和计算机体系结构 4、CISC(复杂指令集计算机):进一步增强原有指令的功能,用更为复杂的新指令取代原先由软件子程序完成的功能,实现软件功能的硬件化,导致机器的指令系统越来越庞大而复杂 5、RISC(精简指令集计算
面试题总汇
wx25051的博客
11-03 4411
. FTP/TFTP/NFS 1.FTP的传输模式:ASCII传输模式和二进制传输模式。 ASCII传输模式: 假定用户正在拷贝的文件包含的简单ASCII码文本,如果在远程机器上运行的不是UNIX,当文件传输ftp通常会自 动地调整文件的内容以便于把文件解释成另外那台计算机存储文本文件的格式。但是常常有这样的情况,用户正在传输的文件包含的不是 文本文件,它们可能是程序,数据库,字处理文件或者压缩文件(尽管字处理文件包含的大部分是文本,其中也包含有指示页尺寸,字库 等信息的非打印符)。在拷贝任何非文本文
System.Net.WebException-“请求中止- 未能创建 SSL-TLS 安全通道。”
dzqxwzoe的博客
04-16 2166
代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
.NET 请求中止: 未能创建 SSL/TLS 安全通道
weixin_46990454的博客
01-06 3786
请求中止未能创建SSL/TLS安全通道
System.Net.WebException:请求中止: 未能创建 SSL/TLS 安全通道。”
碎碎念的安静的博客
03-08 1万+
当使用 HttpWebRequest.GetResponse() 方法进行 HTTPS 请求,有可能会出现 System.Net.WebException: 请求中止: 未能创建 SSL/TLS 安全通道的异常,这通常是因为客户端和服务器之间的 TLS 版本不兼容造成的。
The request was aborted: Could not create SSL/TLS secure channel 解决办法
fox009521的专栏
07-27 1万+
在本地运行,什么事都没有,发布到服务器上死活就是请求不成功。错“The request was aborted: Could not create SSL/TLS secure channel”。其实最开始的异常是WebException 详细信息是“UnknowError”。这就比较尴尬了,最开始怀疑是网络问题,后来发现应该不是,还是得找原因。于是,各种加日志,终于暴露了这个错误。 我这是webclient进行请求的,因为对方是银行的系统,所以各种证书加密很完善,还有一个PFX的网络证书。于是找到一个
两种方式彻底解决请求中止: 未能创建 SSL/TLS 安全通道
热门推荐
qq_30412045的博客
05-17 3万+
两种方式彻底解决请求中止: 未能创建 SSL/TLS 安全通道
VS2013错The request was aborted: Could not create SSL/TLS secure channel.
Yangy_Jiaojiao的博客
01-14 5559
Visual Studio 2013 Nuget(扩展和更新)无法连接网络分析和解决方法A connection to the server could not be established because the following error(s) occurred: The request was aborted: Could not create SSL/TLS secure channel.Please click here to retry the request. 由于出现以下错误,无法建立与
System.Net.WebException: 请求中止: 未能创建 SSL/TLS 安全通道
tianen2010的博客
02-20 3913
System.Net.WebException: 请求中止: 未能创建 SSL/TLS 安全通道
C# 请求中止: 未能创建 SSL/TLS 安全通道”的原因及解决办法
08-13
### 原因分析 在C#中发起请求出现“请求中止: 未能创建 SSL/TLS 安全通道”错误通常与SSL/TLS协议版本不兼容、证书问题或服务器端配置更改有关。以下是具体原因: 1. **SSL/TLS协议版本不兼容**:如果客户端使用的SSL/TLS协议版本与服务器端不兼容,会导致无法建立安全连接。例如,某些旧系统默认使用较老的协议版本(如TLS 1.0),而服务器可能已升级到仅支持TLS 1.2或更高版本[^4]。 2. **证书问题**:证书过期、未正确安装或不受信任的证书颁发机构(CA)可能导致连接失败。例如,微信支付的根证书更换后,如果未及更新相关证书,可能会导致此类错误[^2]。 3. **服务器端配置更改**:第三方服务提供方可能对服务器的安全配置进行了调整,例如禁用了某些不再推荐使用的加密套件或协议版本,导致客户端无法正常连接[^1]。 4. **操作系统和.NET Framework版本限制**:不同版本的Windows和.NET Framework支持的SSL/TLS协议版本不同。例如,Windows Server 2003默认不支持TLS 1.2,除非手动启用[^3]。 ### 解决方案 针对上述原因,可以采取以下措施来解决请求中止: 未能创建 SSL/TLS 安全通道”错误: 1. **强制使用TLS 1.2或更高版本** 在代码中显式设置`ServicePointManager.SecurityProtocol`以确保使用最新的TLS协议版本。建议使用TLS 1.2或更高版本,因为这些版本提供了更强的安全性和兼容性。 ```csharp System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12; ``` 如果要兼容旧系统,可以同启用多个协议版本: ```csharp System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Ssl3 | SecurityProtocolType.Tls | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12; ``` 这种方式可以确保客户端尝试使用所有可用的协议版本进行连接,从而提高兼容性[^4]。 2. **更新和安装必要的证书** 确保所有相关的CA证书和API证书都已正确安装,并且是最新的版本。特别是对于微信支付等服务,务必按照官方文档的要求安装最新的根证书和中间证书[^2]。 3. **检查服务器端配置** 如果可能,联系第三方服务提供方确认其服务器的安全配置,包括支持的SSL/TLS协议版本和加密套件。确保客户端配置与服务器端兼容。 4. **升级操作系统和.NET Framework** 对于老旧的操作系统(如Windows Server 2003),建议升级到更新的版本(如Windows Server 2016或更高),以获得更好的安全性和协议支持。同,确保.NET Framework版本为4.6或更高,以便默认支持TLS 1.2[^3]。 5. **调试和日志记录** 在代码中添加详细的日志记录,捕获请求过程中的异常信息,帮助定位问题。可以使用`try-catch`块捕获`WebException`并检查响应流中的详细错误信息。 ```csharp try { // 发起请求的代码 } catch (WebException ex) { using (var response = (HttpWebResponse)ex.Response) { Console.WriteLine($"Status Code: {response?.StatusCode}"); Console.WriteLine($"Status Description: {response?.StatusDescription}"); } } ``` 通过以上方法,可以有效解决C#中发起HTTPS请求出现的“请求中止: 未能创建 SSL/TLS 安全通道”错误。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值