当SMPT服务器拥有有效的证书时,获取“远程证书根据验证过程无效”
这似乎是一个常见错误,但在找到解决办法(参见下文)后,我无法确定原因我首先得到它。当SMPT服务器拥有有效的证书时,获取“远程证书根据验证过程无效”
我正在将SMTP功能写入我们的应用程序,并且正在尝试将SSL功能添加到我们已有的工作SMTP中。
我正在使用我们公司的MS Exchange服务器进行测试,特别是在该服务器上启用的Webmail选项。我可以通过我的代码在内部发送电子邮件,但不会验证我的连接并匿名发送,但由于我们公司的政策,这些电子邮件不会转发到外部电子邮件地址。除此之外,我正在为我们的客户编程,他们并不都允许开放中继和/或匿名连接。
我相信Exchange服务器正在使用显式SSL/TLS。我尝试telnet到端口25上的服务器地址,并得到一个文本响应,人类可读的响应,根据我以前的一些搜索意味着它使用显式SSL/TLS。
我有下面的测试代码
SmtpClient SMTPClient = new SmtpClient(webmailaddress);
SMTPClient.Port = 25;
SMTPClient.UseDefaultCredentials = true;
SMTPClient.EnableSsl = true;
System.Net.Mail.MailMessage Message = new `
System.Net.Mail.MailMessage(emailFrom,emailTo,subject,body);
SMTPClient.Send(Message);
在我的搜索,因为我碰到这个"The remote certificate is invalid according to the validation procedure." using Gmail SMTP server
从中我得到了下面的代码来解决......
ServicePointManager.ServerCertificateValidationCallback = new RemoteCertificateValidationCallback(ValidateServerCertificate);
public static bool ValidateServerCertificate(object sender,X509Certificate certificate,X509Chain chain,SslPolicyErrors sslPolicyErrors)
{
if (sslPolicyErrors == SslPolicyErrors.None)
return true;
else
{
if (System.Windows.Forms.MessageBox.Show("The server certificate is not valid.\nAccept?", "Certificate Validation", System.Windows.Forms.MessageBoxButtons.YesNo, System.Windows.Forms.MessageBoxIcon.Question) == System.Windows.Forms.DialogResult.Yes)
return true;
else
return false;
}
}
这在我的测试代码中工作。但是我正在写的实际过程(而不是我的测试代码)将在后台运行,并且无法真正询问用户(而是报告Windows错误日志中的错误)。
当我开始时,我的问题是真的为什么我得到这个错误。如果我在浏览器中访问https:webmail.ourdomain.co.uk,它会显示一个有效的证书,并且没有安装证书的选项(如果它是自签名的,我会这样做)。
然而,当我运行我的代码,并在ValidateServerCertificate方法调试中断Poing的,我看证书的价值观和看到我们的本地服务器的发行人“之前不使用”和“不要”在今天的属性之后使用。这与我得到的证书不符。
我也检查了sslPolicyErrors标志在ValidateServerCertificate的调试中是什么,它们显示“RemoteCertificateChainErrors”和“RemoteCertificateNameMismatch”。
那么我错过了什么......为什么它没有使用正确的证书?如果我需要采取措施在本地安装证书以便使用,那么我需要了解它们,以便我可以告诉客户如果得到此信息应该怎么做。
我不想通过从ValidateServerCertificate方法返回true来绕过检查,并且因为它是后台进程,所以我不能要求用户,所以我需要了解如何让我的代码使用正确的/可信的证书。
希望有人能建议。
我终于找到的答案是服务器上的SMTP服务没有使用与https相同的证书。
diagnostic steps I had read here假设他们使用相同的证书,并且每次我在过去尝试过,他们已经完成并且诊断步骤正是我多次解决问题所做的。
在这种情况下,这些步骤不起作用,因为使用的证书不同,并且这种可能性是我从未遇到过的。
解决方案是从服务器导出实际证书,然后将其作为可信证书安装在我的机器上,或者为服务器上的SMTP服务获取不同的有效/可信证书。目前,我们的IT部门负责管理服务器,以决定他们想要做什么。
旧帖子,但我想我会分享我的解决方案,因为这个问题没有太多的解决方案。
如果您运行的是旧版Windows Server 2003计算机,则可能需要安装修补程序(KB938397)。
发生此问题是因为Windows中的加密API 2(CAPI2) Server 2003不支持散列算法的SHA2系列。 CAPI2是处理证书的Cryptography API的一部分。
https://support.microsoft.com/en-us/kb/938397
无论出于何种原因,微软希望通过电子邮件通知您此修补程序,而不是让你直接下载的。下面是从电子邮件直接链接到的修补程序:
http://hotfixv4.microsoft.com/Windows Server 2003/sp3/Fix200653/3790/free/315159_ENU_x64_zip.exe
老的文章,但你说:“为什么不使用正确的证书”,我想提供一个办法,找出其SSL证书用于这需要OpenSSL的SMTP(见here):
的OpenSSL的s_client.First -connect exchange01.int.contoso.com:25 -starttls SMTP
这将概述使用SSL CERTI为SMTP服务命名。根据您在此处看到的内容,您可以使用正确的证书(或手动信任证书)替换错误的证书(如您已经这样做)。
嗯,我猜没有人知道这个答案。还没有找到解决方案:( – RosieC 2014-10-10 10:01:57