c# - WCF SslStreamSecurity DNS 身份检查仅针对 4.6 框架失败-6ren

c# - WCF SslStreamSecurity DNS 身份检查仅针对 4.6 框架失败

转载作者：可可西里更新时间：2023-11-01 08:35:02

我正在为托管在 IIS 中的 Wcf 服务开发新的绑定(bind)，我以为一切正常，但事实证明，如果我更改它，客户端仅在针对 .Net Framework 4.5 时才有效以 4.6 为目标，然后在尝试打开连接时出现以下错误:

System.ServiceModel.Security.MessageSecurityException occurred
  HResult=-2146233087
  Message=The Identity check failed for the outgoing message. The remote endpoint did not provide a domain name system (DNS) claim and therefore did not satisfied DNS identity 'xxx.domain.local'. This may be caused by lack of DNS or CN name in the remote endpoint X.509 certificate's distinguished name.
  Source=System.ServiceModel
  StackTrace:
       at System.ServiceModel.Security.IdentityVerifier.EnsureIdentity(EndpointAddress serviceReference, AuthorizationContext authorizationContext, String errorString)

如果我除了将测试代码中的目标框架改回 4.5 之外什么都不做，那么它工作正常。这让我觉得它可能是 .Net 4.6 中的一个错误，我知道有 Wcf ssl changes made in 4.6

打开第一次机会异常后，我看到在 System.ServiceModel 内部引发的以下异常

System.ArgumentNullException occurred
  HResult=-2147467261
  Message=Value cannot be null.
Parameter name: value
  ParamName=value
  Source=mscorlib
  StackTrace:
       at System.Enum.TryParseEnum(Type enumType, String value, Boolean ignoreCase, EnumResult& parseResult)
  InnerException: 

    System.ServiceModel.dll!System.ServiceModel.Security.IssuanceTokenProviderBase<System.ServiceModel.Security.Tokens.IssuedSecurityTokenProvider.FederatedTokenProviderState>.DoNegotiation(System.TimeSpan timeout)  Unknown     System.ServiceModel.dll!System.ServiceModel.Security.IssuanceTokenProviderBase<System.ServiceModel.Security.Tokens.IssuedSecurityTokenProvider.FederatedTokenProviderState>.GetTokenCore(System.TimeSpan timeout)   Unknown
    System.IdentityModel.dll!System.IdentityModel.Selectors.SecurityTokenProvider.GetToken(System.TimeSpan timeout) Unknown
    System.ServiceModel.dll!System.ServiceModel.Security.Tokens.IssuedSecurityTokenProvider.GetTokenCore(System.TimeSpan timeout)   Unknown
    System.IdentityModel.dll!System.IdentityModel.Selectors.SecurityTokenProvider.GetToken(System.TimeSpan timeout) Unknown
    System.ServiceModel.dll!System.ServiceModel.Security.SecurityProtocol.TryGetSupportingTokens(System.ServiceModel.Security.SecurityProtocolFactory factory, System.ServiceModel.EndpointAddress target, System.Uri via, System.ServiceModel.Channels.Message message, System.TimeSpan timeout, bool isBlockingCall, out System.Collections.Generic.IList<System.ServiceModel.Security.SupportingTokenSpecification> supportingTokens)    Unknown
    System.ServiceModel.dll!System.ServiceModel.Security.TransportSecurityProtocol.SecureOutgoingMessageAtInitiator(ref System.ServiceModel.Channels.Message message, string actor, System.TimeSpan timeout)    Unknown
    System.ServiceModel.dll!System.ServiceModel.Security.TransportSecurityProtocol.SecureOutgoingMessage(ref System.ServiceModel.Channels.Message message, System.TimeSpan timeout) Unknown
    System.ServiceModel.dll!System.ServiceModel.Security.SecurityProtocol.SecureOutgoingMessage(ref System.ServiceModel.Channels.Message message, System.TimeSpan timeout, System.ServiceModel.Security.SecurityProtocolCorrelationState correlationState)  Unknown
    System.ServiceModel.dll!System.ServiceModel.Channels.SecurityChannelFactory<System.ServiceModel.Channels.IRequestChannel>.SecurityRequestChannel.Request(System.ServiceModel.Channels.Message message, System.TimeSpan timeout) Unknown
    System.ServiceModel.dll!System.ServiceModel.Channels.TransactionRequestChannelGeneric<System.ServiceModel.Channels.IRequestChannel>.Request(System.ServiceModel.Channels.Message message, System.TimeSpan timeout)  Unknown
    System.ServiceModel.dll!System.ServiceModel.Dispatcher.RequestChannelBinder.Request(System.ServiceModel.Channels.Message message, System.TimeSpan timeout)  Unknown
    System.ServiceModel.dll!System.ServiceModel.Channels.ServiceChannel.Call(string action, bool oneway, System.ServiceModel.Dispatcher.ProxyOperationRuntime operation, object[] ins, object[] outs, System.TimeSpan timeout)  Unknown
    System.ServiceModel.dll!System.ServiceModel.Channels.ServiceChannelProxy.InvokeService(System.Runtime.Remoting.Messaging.IMethodCallMessage methodCall, System.ServiceModel.Dispatcher.ProxyOperationRuntime operation) Unknown
    System.ServiceModel.dll!System.ServiceModel.Channels.ServiceChannelProxy.Invoke(System.Runtime.Remoting.Messaging.IMessage message) Unknown
    mscorlib.dll!System.Runtime.Remoting.Proxies.RealProxy.PrivateInvoke(ref System.Runtime.Remoting.Proxies.MessageData msgData, int type) Unknown

与之通信的 wcf 服务的目标是 4.6，据我所知，我正在指定 dns 身份，它确实作为 CN= 存在于证书主题中。该绑定(bind)是一个自定义绑定(bind)，因此我可以执行联合 net.tcp，客户端在代码中创建所有内容，我不使用 visual studio 中的添加服务引用功能，客户端代码正在创建绑定(bind):

var binding = new CustomBinding(new BindingElement[] {
            new TransactionFlowBindingElement(),
            security,
            new SslStreamSecurityBindingElement(),
            new BinaryMessageEncodingBindingElement() {
                ReaderQuotas = { MaxDepth = maxReceivedSizeBytes, MaxStringContentLength = maxReceivedSizeBytes, MaxArrayLength = maxReceivedSizeBytes, MaxBytesPerRead = maxReceivedSizeBytes, MaxNameTableCharCount = maxReceivedSizeBytes },
            },
            new TcpTransportBindingElement {
                TransferMode = TransferMode.StreamedResponse,
                MaxReceivedMessageSize = maxReceivedSizeBytes,
            },
        }) {
    SendTimeout = sendTimeout,
};

var channelFactory = new ChannelFactory<T>(binding, new EndpointAddress(new Uri(url), EndpointIdentity.CreateDnsIdentity("xxx.domain.local"), new AddressHeader[0]));

这可能是 4.6 框架中导致不同行为的错误吗？接下来的步骤是否只是尝试单步执行和调试框架代码以尝试找出 4.6 行为不同的原因？

编辑 -我创建了一个 small sample project that demonstrates the error ，复现步骤为:

(使用 VS 2015)打开 WcfSelfHostedServer 解决方案
使用 mmc 将 IdentityFail.pfx 证书添加到您的本地计算机、个人商店
运行 WcfSelfHostedServer 项目(可能单击防火墙是允许端口 30000)
打开 WcfClient 解决方案
右键项目>属性，注意是针对4.6.1
运行项目，会抛出上述异常
现在将客户端切换到目标 4.5.2，它将正常运行，没有错误

更新 -我发现以下内容似乎相关: https://support.microsoft.com/en-us/kb/3069494 https://msdn.microsoft.com/en-us/library/mt298998(v=vs.110).aspx

但在服务器和客户端指定 Tls12 并没有解决问题，即使添加 DontEnableSchUseStrongCrypto=true 标志也不会影响 DNS 身份检查错误，即使它绕过了 Enum.Parse 内部错误 was being thrown from this line

最佳答案

我需要查看 Retargetting Changes in the .NET Framework 4.6.1 ，因为证书验证逻辑在该版本中发生了变化。 (change in behavior for X509CertificateClaimSet.FindClaims 导致了我的问题)

修复是编辑我的 app.config 以添加:

<runtime>
    <AppContextSwitchOverrides value="Switch.System.IdentityModel.DisableMultipleDNSEntriesInSANCertificate=true" /> 
</runtime>

你可以看到 changed code on referencesource ，当然 makecert.exe 似乎不支持 generating certificates with "Subject Alternative Name" fields

关于c# - WCF SslStreamSecurity DNS 身份检查仅针对 4.6 框架失败，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/34910373/

文章推荐： c# - 是否可以向部分类中的属性添加属性？

文章推荐： php - JavaScript 中的 MySQL 查询

文章推荐： c# - NUnit 3 : Forbid tests to run in parallel

dns - 如何解析本地未找到但存在于另一台 DNS 服务器上的同一区域的 DNS 名称？
我需要为一系列 Linux 容器运行本地 BIND DNS 服务器。假设区域是 example.com 我的基础架构中已经有一个 example.com 域，我想使用我的本地 DNS 服务器覆盖一些记
dns - 谷歌云 DNS 或谷歌公共(public) DNS
当“Google Public DNS”免费时，为什么要使用“Google Cloud DNS”？如何设置 DNS/名称服务器以指向计算引擎: 1. 将您的域注册器(在我的情况下为 GoDaddy.
dns - DNS A记录延迟的原因
我有一些主机在 EC2 中按需出现，当它们执行启动它们的服务时，它们会在现有区域下的 Route53 中创建一条 A 记录。 A 记录的格式为:randomid.example.com。所以它不是现有
dns - 子域和 DNS
我目前拥有自己的域名和专用服务器，并且为我的客户提供不同的软件包。我希望能够做的是让他们在我的网站上注册并自动创建一个包，他们可以通过他们的用户名作为子域进行访问，例如 http://youruser
dns - 仅一级子域的通配符 DNS
我想知道如何只为一级子域设置通配符 DNS，示例: user.example.com // valid www.user.example.com // invalid 我的 BIND 区域域配
dns - 比较两个不同名称服务器上的 DNS
我正在努力将我的域的名称服务器切换到新的 DNS 服务。将新设置与现有 DNS 设置进行比较的最佳工具是什么。我尝试使用带有和不带有 @nameserver 的 dig 来确保 DNS 记录在新旧
dns - 程序化 DNS
我是一名长期开发人员，但对 DNS 的经验并不丰富。这是我的问题: 我们的应用程序在 Amazon EC2 上为客户启动服务器。一个客户希望为每台启动的服务器使用自定义 DNS，而不是 AWS 提供的
dns - DNS RFC允许将根域CNAME转换为其他域吗？
Closed. This question is off-topic。它当前不接受答案。想改善这个问题吗？ Update the question，所以它是用于堆栈溢出的on-topic。 9年前关
dns - DNS 名称的最大长度是多少
我看到几个提到 DNS 名称(域名)的最大字符串长度为 253 个字符。维基百科似乎指的是这篇旧博文: https://en.wikipedia.org/wiki/Hostname http://bl
dns - Squid 可以将 DNS 查询转发到 DNS 服务器吗？
这可能是完全不可能实现的，但在我尝试之前，我想我可能会从一位极客那里得到一些建议。 Squid 也会代理 DNS 查询吗？我想转发DNS查询以通过squid并使用squid的DNS错误页面，当然是通过
dns - DNS 查找的理想超时时间
在我的 Rails 应用程序中，我使用 ruby 库 resolv 进行 nslookup。如果输入像 dgdfgdfgdfg.com 这样的网站，则说明时间太长而无法解决。在某些情况下，例如 2
dns - 浏览器无法在持久连接上重新协商 DNS
我正在研究一个带有每 5 秒刷新一次(轮询)的实时仪表板(Angular Web 应用程序)的场景。 API 位于 Azure 流量管理器之后，如果主要区域发生故障，它将故障转移到第二个区域。请记住，
dns - java 应用程序中主机的前向和后向 DNS 条目如何匹配，使其免受 DNS 欺骗
我正在使用 fortify，它显示了攻击者可以在我尝试在 java 应用程序中获取主机名时进行 DNS 欺骗的漏洞。我有一个解决方案，通过匹配正向 DNS 和反向 DNS 条目可以避免这种情况。但它有
azure - 我的域的 DNS 记录未通过 dns-01 质询在 azure-dns 上传播
我正在尝试使用 cert-manager 为我的 istio-ingress-gateway 订购证书。为此，我在 AKS 上的 kubernetes 集群 (1.13.7) 上安装了 istio (
dns - 如何让 DNS 从本地主机解析与从远程主机解析相同的内容？
我正在尝试创建一个家庭自动化系统，它可以在我工作的白天照看我的狗。我在这个项目中的目标是学习一些关于 DNS、文件服务和 RaspberryPi 的知识。我的硬件设置是这样的: 1 个 Raspbe
dns - 如何远程管理 DNS 服务器？
我想在一台服务器上创建一个 Web 界面，以管理另一台服务器上的几个 dns 服务器。如何以编程方式远程管理绑定(bind) dns 服务器？我想添加/编辑/删除区域。我看到有 rndc，但它只
dns - DNS 传播是否依赖于 TTL？
我对 TTL 和传播时间的概念有点困惑，我想澄清一些我没有设法在网上找到具体答案的事情。 AFAIK，TTL(生存时间)表示世界各地的服务器更新特定 DNS 的缓存值所需的(最高)时间。所以...
dns - Kubernetes DNS 失败
我正在尝试学习 kubernetes，并且我已成功在裸机上设置集群(1 节点)、部署服务并通过入口公开它。我尝试实现 traefik，以获取 Lets 加密证书，但我无法使其工作，并且在调试时我注意
dns - 您将如何使用 DNS 自动创建子域？
我想以编程方式自动更新我的 DNS 多个域。我在 GoDaddy 上运行 BIND 服务器(在 FreeBSD 上)以及主机域和 DNS。我找不到供 GoDaddy 访问和更新他们托管的 DNS 的
dns - 捕获 DNS 泄漏
我正在尝试记录 DNS“泄漏”，换句话说，我网站的访问者使用的 DNS 服务器。如何确定网络请求来自哪个 DNS 服务器到我的服务器(即获取 DNS 泄漏)。本站 dnsleaktest.com是吗

可可西里

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

c# - WCF SslStreamSecurity DNS 身份检查仅针对 4.6 框架失败