AWS EC2 に構築したASP.NETシステムから、他社サービスのAPIをHTTPS通信で実行しようとするとエラーが発生する

前提・実現したいこと

ASP.Net MVCでのシステムを構築しています。このシステムで、他社サービスのAPIを実行する部分がありまして、そのAPIを実行するには固定IPアドレスの値を申請する必要がありました。

開発PCは固定IPでなく動的であるので、デバッグのためAmazon EC2にてWindows Server2019を構築、固定IPを割り当て、開発中のシステムを発行しリモートデバッグとまではうまくできているのですが、肝心の他社サービスAPIを実行する部分で下記のエラーが発生しています。

発生している問題・エラーメッセージ

The request was aborted: Could not create SSL/TLS secure channel.

該当のソースコード

コードの概要は下記の通りです。

C#
1// 下記はAPI実行に必要な設定
2x509Certificate2 = new X509Certificate2("pfxファイルを読み込んだバイト配列", "パスワード", X509KeyStorageFlags.PersistKeySet);
3WebRequestHandler handler = new WebRequestHandler();
4handler.ClientCertificates.Add(x509Certificate2);
5handler.ServerCertificateValidationCallback = delegate { return true; };
6
7using (var client = new HttpClient(handler))
8{
9    ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12 | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls;
10    HttpRequestMessage request = new HttpRequestMessage(HttpMethod.Post, "https://他社サービスのAPIエンドポイント");
11    request.Headers.Add("Authorization", "APIに必要なトークン");
12    request.Content = new StringContent("ボディリクエスト文字列", new UTF8Encoding(), "application/x-www-form-urlencoded");
13
14    // ☆↓がエラーが発生している箇所
15    response = client.SendAsync(request).Result;
16}

試したこと

Fiddler（やりとりされるHTTPリクエストやレスポンスを確認できるツール。HTTPS通信もキャッチするように設定済み）にて、トラフィックを確認しましたが、キャッチされず、そもそものリクエストが送信できていないようです。

エラーメッセージからhttps通信の設定の問題かと考え、EC2のセキュリティグループを確認、IISマネージャでの証明書、SSL設定を追加したのですが状況が変わりませんでした。

開発用PC（動的IP）でデバッグ実行するとFiddlerでキャッチされますし、他社APIのエラーメッセージが返っております。そのエラー内容も「許可されていないIPアドレスである」旨であるため、通信自体は上記のコードで合っており、EC2の設定の問題なのかと思っています。

ただ、EC2「から他サーバへの」HTTPS通信について調べようとしても、たいていはEC2に構築したWebサーバーにHTTPS通信する内容が多く見つかります。正直、このHTTPS通信、SSL/TLSに関して自分の理解は浅いです。
今回行いたい「EC2（のIIS）から他サービスへHTTPS通信をさせる」のと、多く情報がある「EC2へHTTPS通信する」ことは、設定自体は同じ話になるのでしょうか？

コードで解消できる話題なのか、AWSの設定で解消できる話なのか、ご助力いただきたく存じます。よろしくお願いします。

退会済みユーザー

2020/11/07 05:53 編集

ASP.NET Web アプリからでなく、単純にコンソールアプリからアクセスした場合はどうなるかは試してみたでしょうか？質問の本題とは関係ないことですが、質問のコードのように using 句で HttpClient の生成・廃棄を繰り返すと、そのたびにソケットが生成され、それは廃棄されないので、ソケットの枯渇につながるという問題があります。（Microsoft のドキュメント https://docs.microsoft.com/ja-jp/dotnet/api/system.net.http.httpclient?view=netframework-4.8 に書いてあります）そのため、シングルトンにしてアプリで使いまわすということを行いますが、要求のたびにスレッドプールからスレッドを得て要求を処理して返すという操作を行う ASP.NET Web アプリで、一つの HttpClient を複数のスレッドで同時に使うということをして問題が無いかは分かりません。 .NET 版でなく、Core 2.1 以降を使うのであれば以下のような手段があるそうですが・・・ ASP.NET Core で IHttpClientFactory を使用して HTTP 要求を行う https://docs.microsoft.com/ja-jp/aspnet/core/fundamentals/http-requests?view=aspnetcore-2.1

退会済みユーザー

2020/11/07 01:55 編集

タグが MVC4 となっていますが間違いでは？　新規開発なら MVC4 ではなくて MVC5 だと思うのですが。間違いならタグを付け直してください。他に ASP.NET, ASP.NET MVC Framework というタグがあります。

ta1_2498

2020/11/07 16:11

失礼しました。ASP.NET MVC 5ではタグが無かったようなので、思わず4をつけてしまいましたが、ASP.NET MVC Framework に付け替えました。 HttpClientは1度だけのインスタンス化にするんですね。情報ありがとうございます。こちらは書き方を修正します。なお、肝心の問題のほうは解決しましたので、方法についてはそちらに記載させていただきます。ありがとうございました。

退会済みユーザー

2020/11/08 00:14

> HttpClientは1度だけのインスタンス化にするんですね。情報ありがとうございます。こちらは書き方を修正します。以下の記事をご参考に紹介します。 Improper Instantiation antipattern https://docs.microsoft.com/en-us/azure/architecture/antipatterns/improper-instantiation/ How to fix the problem のセクションに解決したという方法が書いてあります。コントローラーに、 private static readonly HttpClient httpClient; というフィールドを追加して、コントローラーのコンストラクタで、 httpClient = new HttpClient(); とすると書いてあります。ただ、コントローラのコンストラクタはクライアントから要求を受けるたびに呼び出されるのですが、要求を受けるたびに HttpClient のインスタンスを新たに作るということになってしまうはずで、それでホントにうまくいくのか分かりませんが。 Microsoft のドキュメントでもありますし、検証したようでもありますし、もし問題が起きたら Microsoft のせいということにできるかもしれませんので（半分冗談）、使ってみるのも手かもしれません。

行動規範の内容に同意します

回答2件

ご回答ありがとうございました。
問題の現象について解決できましたので、下記に記載します。
0. ファイアウォールの設定：EC2セキュリティグループのアウトバウンドばかり気にしており、EC2マシン自体のファイアウォールを確認できていませんでした。

コード最初のX509Certificateコンストラクタの第3引数を、"X509KeyStorageFlags.MachineKeySet"に変更

C#
1x509Certificate2 = new X509Certificate2("pfxファイルを読み込んだバイト配列", "パスワード", X509KeyStorageFlags.PersistKeySet);
2↓
3x509Certificate2 = new X509Certificate2("pfxファイルを読み込んだバイト配列", "パスワード", X509KeyStorageFlags.MachineKeySet);