HTTPS与证书的基础概念

HTTPS = HTTP + SSL/TLS，就像给你的网络通信加了个保险箱。想象一下：你要给朋友寄一份重要文件（你的数据），HTTP就像用普通信封邮寄，谁都能拆开看；HTTPS则是用银行级别的保险箱运送，只有你和朋友有钥匙。

SSL/TLS证书就是这个"保险箱"的质量认证。它由CA（证书颁发机构）签发，包含三个关键信息：

1. 网站的身份信息（比如google.com）

2. 公钥（用来加密数据）

3. CA的数字签名（证明这个证书是真的）

在C

中访问HTTPS网站时，证书验证是自动进行的。但有时候我们需要手动处理，比如遇到以下几种情况：

C

中常见的HTTPS访问方式

1. 最简单的HttpClient方式

```csharp

using System;

using System.Net.Http;

class Program

{

static async Task Main(string[] args)

{

// 创建一个HttpClient实例

using HttpClient client = new HttpClient();

try

{

// 发送GET请求到HTTPS网站

HttpResponseMessage response = await client.GetAsync("https://example.com");

// 确保响应成功

response.EnsureSuccessStatusCode();

// 读取响应内容

string responseBody = await response.Content.ReadAsStringAsync();

Console.WriteLine(responseBody);

}

catch(HttpRequestException e)

Console.WriteLine("\nException Caught!");

Console.WriteLine("Message :{0} ",e.Message);

}

}

```

这个简单的例子会默认使用系统的证书存储来验证服务器证书。如果验证失败（比如自签名证书或过期证书），就会抛出异常。

2. 处理自签名证书的情况

开发环境中常用自签名证书，但.NET默认不信任它们。这时我们需要自定义验证逻辑：

using System.Security.Cryptography.X509Certificates;

using System.Net.Security;

// 创建一个自定义的HttpClientHandler

HttpClientHandler handler = new HttpClientHandler();

// 覆盖默认的服务器证书验证回调

handler.ServerCertificateCustomValidationCallback =

(httpRequestMessage, cert, cetChain, policyErrors) =>

{

// 这里可以添加自定义验证逻辑

if (cert.Issuer.Equals("CN=MyLocalCA"))

return true; //信任特定颁发者的证书

return policyErrors == SslPolicyErrors.None; //否则只接受无错误的证书

};

// 使用自定义handler创建HttpClient

using HttpClient client = new HttpClient(handler);

HttpResponseMessage response = await client.GetAsync("https://localhost:5001");

catch(Exception e)

Console.WriteLine(e.Message);

注意：生产环境中不要无条件接受所有证书(`return true`)，这会完全禁用HTTPS的安全保护！

3. 客户端证书认证

有些API要求客户端也提供证书进行双向认证：

// 加载客户端证书文件(通常为.pfx格式)

X509Certificate2 clientCert = new X509Certificate2(

"client.pfx",

"password123");

// 添加客户端证书到请求中

handler.ClientCertificates.Add(clientCert);

using HttpClient client = new HttpClient(handler);

try

{

HttpResponseMessage response = await client.GetAsync("https://api.example.com/secure-endpoint");

response.EnsureSuccessStatusCode();

string responseBody = await response.Content.ReadAsStringAsync();

Console.WriteLine(responseBody);

}

catch(Exception e)

Console.WriteLine(e.Message);

HTTPS访问中的常见问题及解决方案

Q1: "基础连接已经关闭:发送时发生错误"

可能原因：

- TLS版本不匹配（服务器要求TLS1.2而客户端使用更低版本）

解决方案：

// .NET Core中全局设置TLS版本(推荐放在Program.cs中)

System.Net.ServicePointManager.SecurityProtocol |=

SecurityProtocolType.Tls12 | SecurityProtocolType.Tls13;

// .NET Framework中可以这样设置：

ServicePointManager.SecurityProtocol |= SecurityProtocolType.Tls12;

Q2: "根据验证过程，远程证书无效"

1. 自签名证书未被信任

2. CN(Common Name)不匹配域名(SAN扩展中没有包含该域名)

3. CA根不在系统信任列表中

解决方案A(开发环境)：

// ★仅限开发和测试环境使用★

handler.ServerCertificateCustomValidationCallback =

(message, cert, chain, errors) => true;

解决方案B(生产环境推荐)：

// 手动将CA根添加到系统信任存储中(Windows示例):

// certmgr.msc → "受信任的根证书颁发机构" →导入CA根证书记住：生产环境必须正确配置CA信任链！

Q3: "请求被中止:未能创建SSL/TLS安全通道"

- Windows系统缺少必要的密码套件支持

解决方案A(Windows Server):

```powershell

PowerShell管理员运行:

Enable-TlsCipherSuite -Name "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"

Enable-TlsCipherSuite -Name "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"

HTTPS最佳实践

1. 始终验证服务器身份

- `ServerCertificateCustomValidationCallback`回调中至少检查`policyErrors`

- `X509ChainPolicy`可以精细控制链验证规则

2. 正确处理协议版本

```csharp

ServicePointManager.SecurityProtocol =

SecurityProtocolType.Tls12 | SecurityProtocolType.Tls13;

```

3. 敏感操作需要双向认证

```csharp handler.ClientCertificates.Add(cert); ```

4. 监控和更新

```csharp var expirationDate = cert.NotAfter; ```

5. 日志记录

```csharp logger.LogWarning($"SSL Policy Errors: {policyErrors}"); ```

记住：HTTPS不是银弹！即使使用了HTTPS也要：

- Validate input (输入验证)

- Sanitize output (输出编码)

- Implement proper authZ/authN (正确的授权认证)

希望这篇指南能帮助你安全地在C

中使用HTTPS！如果有特定场景的问题，欢迎进一步讨论。

TAG:c# 通过https访问网站 证书,程青松,丞磊,垂涎,重庆天气,cctv5在线直播