回答編集履歴

一部、表現を修正

2019/11/11 17:57

投稿

dodox86

スコア9416

answer CHANGED Viewed

@@ -10,7 +10,7 @@
 先の回答は外していました。くやしかった(？)のと、お手を煩わせてしまった罪滅ぼしに当方でも検証してみました。
 結果から書きますと、以下の処置で限定的ながら通信できるようになりました。
-0. 作成した自己（オレオレ）証明書の*.pfxファイルをWindows証明書マネージャでインポート
+0. 作成した自己証明書の*.pfxファイルをWindows証明書マネージャでインポート
 0. インポートしたWindows証明書マネージャで証明書のサムプリント（拇印）を取得
 0. `netsh`コマンドでポート構成をバインド
 0. サーバー側プログラムで、匿名アクセスを受け付けるよう修正
@@ -18,8 +18,8 @@
 以下、順にご説明します。
-### 1. 作成した自己（オレオレ）証明書の*.pfxファイルをWindows証明書マネージャでインポート
-質問者さんの「試したこと1」で、netsh コマンドによるSSL証明書のポート構成のバインド操作ですが、PowerShellのGet-PfxCertificateによる拇印ではダメでした。（私自身がこの辺りに不慣れなこともあって）様々なオプションを試しましたが、結局、以下の記事を参考にさせていただき、MMCでの「Windows証明書マネージャcertlm」を用いて証明書ファイルServerCert1.pfxをインポートしました。（すべてデフォルトの指定に沿います）
+### 1. 作成した自己証明書の*.pfxファイルをWindows証明書マネージャでインポート
+質問者さんの「試したこと1」で、`netsh` コマンドによるSSL証明書のポート構成のバインド操作ですが、PowerShellの`Get-PfxCertificate`コマンドで得た拇印ではダメでした。（私自身がこの辺りに不慣れなこともあって）様々なオプションを試しましたが、結局、以下の記事を参考にさせていただき、MMCでの「Windows証明書マネージャcertlm」を用いて自己（オレオレ）SSL証明書ファイルServerCert1.pfxをインポートしました。（すべてデフォルトの指定に沿います）
 [OnTimeサーバーにSSL証明書を設定する - OnTime Group Calendar](https://www3.ontimesuite.jp/ssl-cert/)
 ### 2. インポートしたWindows証明書マネージャで証明書のサムプリント（拇印）を取得

分かりづらい部分を修正

2019/11/11 17:57

投稿

dodox86

スコア9416

answer CHANGED Viewed

@@ -19,13 +19,13 @@
 以下、順にご説明します。
 ### 1. 作成した自己（オレオレ）証明書の*.pfxファイルをWindows証明書マネージャでインポート
+質問者さんの「試したこと1」で、netsh コマンドによるSSL証明書のポート構成のバインド操作ですが、PowerShellのGet-PfxCertificateによる拇印ではダメでした。（私自身がこの辺りに不慣れなこともあって）様々なオプションを試しましたが、結局、以下の記事を参考にさせていただき、MMCでの「Windows証明書マネージャcertlm」を用いて証明書ファイルServerCert1.pfxをインポートしました。（すべてデフォルトの指定に沿います）
+[OnTimeサーバーにSSL証明書を設定する - OnTime Group Calendar](https://www3.ontimesuite.jp/ssl-cert/)
 ### 2. インポートしたWindows証明書マネージャで証明書のサムプリント（拇印）を取得
-質問者さんの「試したこと1」で、netsh コマンドによるSSL証明書のポート構成のバインド操作ですが、PowerShellの`Get-PfxCertificate`による拇印ではダメでした。（私自身がこの辺りに不慣れなこともあって）様々なオプションを試しましたが、結局、以下の記事を参考にさせていただき、MMCでの「Windows証明書マネージャ`certlm`」を用いて証明書ファイルServerCert1.pfxをインポートしました。（すべてデフォルトの指定に沿います）証明書のサムプリント（拇印）は、このWindows証明書マネージャで得られたものを利用しました。
+証明書のサムプリント（拇印）は、1.のWindows証明書マネージャで得られたものを利用しました。 （操作方法は記事中に記載されています
-[OnTimeサーバーにSSL証明書を設定する - OnTime Group Calendar](https://www3.ontimesuite.jp/ssl-cert/)
 ### 3. `netsh`コマンドでポート構成をバインド
 証明書のサムプリントの取得部分が違うだけで、あとは質問者さんで行った方法と同じです。
 ```CMD
 netsh http add sslcert ipport=0.0.0.0:5000 certhash=eae70a1d0144a9a367b4aa810f22b8e95815b602 appid={90164bb5-886c-4536-a752-7fbbf652c070} clientcertnegotiation=enable

検証結果を追記

2019/11/11 17:48

投稿

dodox86

スコア9416

answer CHANGED Viewed

@@ -2,4 +2,232 @@
 "123.123.123.123"は質問投稿用の仮のIPアドレスなのかもしれませんが、いずれにせよlocalhostとは異なります。httpsで運用するサーバーは、アクセスされる際のホスト名を厳密に意識しているはずなので、ここで不一致は良くないのでは。
-開発環境上では同一PCということなので、hostsファイルなどを利用してホスト名の部分を合わせてみるか、IPアドレスを合わせてアクセスしてみてください。あるいは簡単に、クライアント側から "https://localhost:5000/TestService" でアクセスできるのであれば、やはりそういうことなのではないかな、と思います。
+開発環境上では同一PCということなので、hostsファイルなどを利用してホスト名の部分を合わせてみるか、IPアドレスを合わせてアクセスしてみてください。あるいは簡単に、クライアント側から "https://localhost:5000/TestService" でアクセスできるのであれば、やはりそういうことなのではないかな、と思います。
+---
+**追記しました：2019-11-12 02:42**
+先の回答は外していました。くやしかった(？)のと、お手を煩わせてしまった罪滅ぼしに当方でも検証してみました。
+結果から書きますと、以下の処置で限定的ながら通信できるようになりました。
+0. 作成した自己（オレオレ）証明書の*.pfxファイルをWindows証明書マネージャでインポート
+0. インポートしたWindows証明書マネージャで証明書のサムプリント（拇印）を取得
+0. `netsh`コマンドでポート構成をバインド
+0. サーバー側プログラムで、匿名アクセスを受け付けるよう修正
+0. クライアント側プログラムで、「自己証明書による不正な証明書エラー」によるエラーを回避するよう修正
+以下、順にご説明します。
+### 1. 作成した自己（オレオレ）証明書の*.pfxファイルをWindows証明書マネージャでインポート
+### 2. インポートしたWindows証明書マネージャで証明書のサムプリント（拇印）を取得
+質問者さんの「試したこと1」で、netsh コマンドによるSSL証明書のポート構成のバインド操作ですが、PowerShellの`Get-PfxCertificate`による拇印ではダメでした。（私自身がこの辺りに不慣れなこともあって）様々なオプションを試しましたが、結局、以下の記事を参考にさせていただき、MMCでの「Windows証明書マネージャ`certlm`」を用いて証明書ファイルServerCert1.pfxをインポートしました。（すべてデフォルトの指定に沿います）証明書のサムプリント（拇印）は、このWindows証明書マネージャで得られたものを利用しました。
+[OnTimeサーバーにSSL証明書を設定する - OnTime Group Calendar](https://www3.ontimesuite.jp/ssl-cert/)
+### 3. `netsh`コマンドでポート構成をバインド
+証明書のサムプリントの取得部分が違うだけで、あとは質問者さんで行った方法と同じです。
+```CMD
+netsh http add sslcert ipport=0.0.0.0:5000 certhash=eae70a1d0144a9a367b4aa810f22b8e95815b602 appid={90164bb5-886c-4536-a752-7fbbf652c070} clientcertnegotiation=enable
+```
+`netsh http show sslcert`でSSL証明書のバインド状況を確認すると、以下のようなものとなりました。
+```CMD
+C> netsh http show sslcert
+SSL 証明書のバインド:
+-------------------------
+    IP:ポート                     : 0.0.0.0:5000
+    証明書ハッシュ                : eae70a1d0144a9a367b4aa810f22b8e95815b602
+    アプリケーション ID           : {90164bb5-886c-4536-a752-7fbbf652c070}
+    証明書ストア名                : (null)
+    クライアント証明書の失効状態の検証: Enabled
+    キャッシュされたクライアント証明書のみを使用した失効状態の検証: Disabled
+    使用法のチェック              : Enabled
+    失効リストの更新を確認する間隔: 0
+    URL 取得のタイムアウト        : 0
+    Ctl 識別子                    : (null)
+    Ctl ストア名                  : (null)
+    DS マッパーの使用法           : Disabled
+    クライアント証明書のネゴシエート: Enabled
+    接続の拒否                    : Disabled
+    HTTP2 を無効にする           : Not Set
+    QUIC を無効にする            : Not Set
+    TLS1.2 を無効にする          : Not Set
+    TLS1.3 を無効にする          : Not Set
+    OCSP Stapling を無効にする   : Not Set
+    トークンのバインドを有効にする         : Not Set
+    拡張イベントをログに記録する          : Not Set
+    レガシ TLS バージョンを無効にする  : Not Set
+    セッション チケットを有効にする        : Not Set
+ 拡張プロパティ:
+    PropertyId                   : 0
+    受信ウィンドウ               : 1048576
+ 拡張プロパティ:
+    PropertyId                   : 1
+    フレームごとの最大設定       : 2796202
+    1 分間の最大設定      : 4294967295
+```
+### 4. クライアント側プログラムで、「自己証明書による不正な証明書エラー」によるエラーを回避するよう修正
+もとのサーバー、クライアントプログラムですと、自己証明書を使っていることによる、`System.ServiceModel.Security.SecurityNegotiationException` 「リモート証明書は無効です。」例外が起きます。
+```
+System.ServiceModel.Security.SecurityNegotiationException
+  HResult=0x80131501
+  Message=機関 'servercn1:5000' との SSL/TLS のセキュリティで保護されているチャネルに対する信頼関係を確立できませんでした。
+  Source=mscorlib
+  スタック トレース:
+   ...(省略)
+内部例外 1:
+WebException: 接続が切断されました: SSL/TLS のセキュリティで保護されているチャネルに対する信頼関係を確立できませんでした。
+内部例外 2:
+AuthenticationException: 検証プロシージャによると、リモート証明書は無効です。
+```
+これを避けるために、クライアント側に自己証明書であった場合でも、無理やりOKとするよう修正します。
+参考：[How to accept a self-signed SSL certificate in a WCF client? - Stack Overflow](https://stackoverflow.com/questions/4977218/how-to-accept-a-self-signed-ssl-certificate-in-a-wcf-client)
+```C#
+// MessageData rtn = channel.PostMsg(msg); で送信する前に、リモート証明書の妥当性チェックコールバックを登録
+ServicePointManager.ServerCertificateValidationCallback +=
+    new System.Net.Security.RemoteCertificateValidationCallback(EasyCertCheck);
+// コールバックメソッド
+bool EasyCertCheck(object sender, X509Certificate cert,
+    X509Chain chain, System.Net.Security.SslPolicyErrors error)
+{
+    // 自己証明書の場合でも必ずチェックOKとする
+    Debug.WriteLine("EasyCertCheck");
+    return true;
+}
+```
+### 5. サーバー側プログラムで、匿名アクセスを受け付けるよう修正
+サーバー側のコードで、`binding.Security.Transport.ClientCredentialType`が`HttpClientCredentialType.Certificate`であると、以下の例外となります。HTTPステータス403なので一応は繋がっているかたちですが、成功としてレスポンスを受信したいので、この設定値を緩やかなものに変えます。
+```
+System.ServiceModel.Security.MessageSecurityException
+  HResult=0x80131501
+  Message=この HTTP 要求は、クライアントの認証方式 'Anonymous' で許可されませんでした。
+  Source=WindowsFormsApp1
+  スタック トレース:
+   ...(省略)
+内部例外 1:
+WebException: リモート サーバーがエラーを返しました: (403) 使用不可能
+```
+```C#
+//ここを無効にして binding.Security.Transport.ClientCredentialType = HttpClientCredentialType.Certificate;
+// 匿名アクセスを可能とする
+binding.Security.Transport.ClientCredentialType = HttpClientCredentialType.None;
+```
+### 6. まとめ
+自己証明書用でも構わず処理するようにクライアントを修正したのと、特に匿名アクセスでも受け付けるようにサーバーを修正した点は気になるところですが、一応https接続はできるようになったので、現状の回答として追記させてもらった次第です。
+検証した環境は以下となります。。
+- Windows 10 Professional Version 1903 (OSビルド 18362.418)
+- Visual Studio 2017 (Version 15.9.17)
+- .NET Framework 4.5
+プログラムの実行状況です。
+![プログラム実行状況](2bf0fad0b793d3ac094fbd74a2fc5b52.png)
+クライアント側はProgram.csの修正量が多いので、全部掲載します。
+```C#
+using System;
+using System.Windows.Forms;
+using System.Security.Cryptography.X509Certificates;
+using System.ServiceModel;
+using System.ServiceModel.Description;
+using System.ServiceModel.Security;
+using System.ServiceModel.Web;
+using System.Net;
+using System.Diagnostics;
+using TestService;
+namespace TestClient
+{
+    public partial class Form1 : Form
+    {
+        WebChannelFactory<ITestService> cf = null;
+        ITestService channel = null;
+        //private static string pfxPath = @"D:\Work\TestService\ServerCert1.pfx";
+        private static string pfxPath = @"C:\project\teratail\221557\ServerCert1.pfx";
+        //private static string uris = @"https://123.123.123.123:5000/TestService";
+        //private static string uris = @"https://localhost:5000/TestService";
+        //private static string uris = @"https://ServerCN1:5000/TestService";
+        private static string uris = @"https://192.168.11.103:5000/TestService";
+        public Form1()
+        {
+            InitializeComponent();
+        }
+        private void Form1_Load(object sender, EventArgs e)
+        {
+            listBox1.HorizontalScrollbar = true;
+            //Uri uri = new Uri("https://123.123.123.123:5000/TestService");
+            Uri uri = new Uri(uris);
+            EndpointAddress endpointAddress = new EndpointAddress(uri);
+            //--------------------------チャンネル
+            cf = new WebChannelFactory<ITestService>(uri);
+            WebHttpBinding binding = cf.Endpoint.Binding as WebHttpBinding;
+            binding.Security.Transport.ClientCredentialType = HttpClientCredentialType.Certificate;
+            binding.Security.Mode = WebHttpSecurityMode.Transport;
+            var behavior = new WebHttpBehavior();
+            behavior.FaultExceptionEnabled = false;
+            behavior.HelpEnabled = true;
+            behavior.DefaultOutgoingRequestFormat = WebMessageFormat.Json;
+            behavior.DefaultOutgoingResponseFormat = WebMessageFormat.Json;
+            cf.Endpoint.Behaviors.Add(behavior);
+            ServicePointManager.ServerCertificateValidationCallback +=
+                new System.Net.Security.RemoteCertificateValidationCallback(EasyCertCheck);
+            //var clientCertificate = new X509Certificate2(@"D:\Work\TestService\ServerCert1.pfx", "pswd", X509KeyStorageFlags.UserKeySet);
+            var clientCertificate = new X509Certificate2(pfxPath, "pswd", X509KeyStorageFlags.UserKeySet);
+            cf.Credentials.ClientCertificate.Certificate = clientCertificate;
+            cf.Credentials.ServiceCertificate.Authentication.CertificateValidationMode = X509CertificateValidationMode.None;
+            //cf.Credentials.ServiceCertificate.Authentication.CertificateValidationMode = X509CertificateValidationMode.PeerTrust;
+            channel = cf.CreateChannel();
+        }
+        private void button1_Click(object sender, EventArgs e)
+        {
+            MessageData msg = new MessageData()
+            {
+                Name = "Taro",
+                Gender = 1,
+                Age = 3
+            };
+            try
+            {
+                MessageData rtn = channel.PostMsg(msg);   //<--------ここでエラー発生
+                listBox1.Items.Insert(0, string.Format("Name:{0}, Gender:{1}, Age{2} ", rtn.Name, rtn.Gender, rtn.Age));
+            }
+            catch (Exception ex)
+            {
+                Trace.WriteLine(ex.Message);
+                throw ex;
+            }
+        }
+        private bool EasyCertCheck(object sender, X509Certificate cert,
+            X509Chain chain, System.Net.Security.SslPolicyErrors error)
+        {
+            Debug.WriteLine("EasyCertCheck");
+            return true;
+        }
+    }
+}
+```