HttpWebRequestとオレオレ証明書2007年10月10日 02時42分05秒

まずは1発目。

いま抱えてる仕事が月末納期で、そろそろ詰めの段階にきているのだが、本番系のサーバに暫定でオレオレ証明書を入れてSSL通信を始めた。

基本はWebアプリなのだが、印刷周りだけはWebじゃ如何ともしがたいため、C#で印刷アプリも作っていて、認証と基本情報の取得にWebアプリとHttpWebRequestで通信を行っているのだが、これがいきなりハマった。「リモート サーバーとの信頼関係を確立できませんでした」というやつだ。

証明書のインストールが必要かと思い、IEでアクセスして証明書のインストールを行ったが状況が改善しない。IEで表示される警告をよくよく読んでみると、どうやら(証明書の発行元が確認できないのはもちろんだが)証明書そのものが通信しているサーバ向けではなく、他のサイト向けとして発行されているとのことだ。

で、もう少し調べてみたら、MicrosoftのKBで「PRB:「 System.Net.WebException」 基になる接続は、閉じられました。 「リモート サーバーとの信頼関係は確立できる」でした。 .NET Framework をアップグレードすると、エラー メッセージ」なんてのが見つかった。

機械翻訳なので少々アレだが、

他のシナリオは、存在します。 たとえば、外部クライアント versus 内部的に一部のネットワークが別の名前解決方式を使用します。証明書が(www.adatum.com)などパブリック URL とイントラネット アプリケーションでサーバーに発行される場合に、内部ドメインネーム システム DNS サーバーは、(www.internal.corporate.adatum.com)など同じサーバーの別の名前を指定します。 この SSL での Web サービスの要求は、失敗することがあります。 この変更は、 SSL を使用する Web サービスのセキュリティを強化するのが行われます。
なんてことが書いてあり、どうやらそのものズバリくさい。

なので、このページに掲載されていたサンプルにあるように、「サーバが送りつけてきた証明書を無条件に信頼するICertificatePolicyを実装し、ServicePointManagerに設定する」という、なんともアレな回避策で無事(?)回避することができた。

ま、リリース時はちゃんとした証明書を発行してもらう(つか、手続き中)ので問題ないんだけども、なんだかなぁ、というお話でした。

コメント

コメントをどうぞ

※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。

※なお、送られたコメントはブログの管理者が確認するまで公開されません。

名前:
メールアドレス:
URL:
コメント:

トラックバック

このエントリのトラックバックURL: http://dara-j.asablo.jp/blog/2007/10/10/1846190/tb

※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。