聊一聊如何用C#做HTTPS证书的过期时间检测

最新推荐文章于 2024-09-12 16:31:33 发布
最新推荐文章于 2024-09-12 16:31:33 发布
阅读量824 收藏 2
点赞数
分类专栏: CSharp.NET 文章标签: c# https
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNTMxMzg1MA==&mid=2654096690&idx=1&sn=96075029276f6535f051a5b0c82986b3&chksm=80d86967b7afe071a9e84beea3f06a8668197c93f76d3b86e9aa5a0fab3f5c7dc61e2a5e9359&mpshare=1&scene=23&srcid=0526UOJuK0GGS4ZuLWlNKGct&sharer_sharetim
版权

目录

背景

方式一 HttpClient

方式二 TcpClient

方式三 Socket

总结

 

背景

遇到过几次在对接第三方时,由于对方域名证书过期,导致请求失败。

虽然现在云平台都有提供证书过期的告警,但是主要维度是针对证书级别的,不是针对某个具体域名,所以这种情况下,会容易出现漏更新的情况,所以还是要有一些额外的手段来辅助。

下面老黄介绍一下用 C# 实现的几种方式来检测证书的过期时间。

方式一 HttpClient

在用 HttpClient 时,我们有些情况会忽略 ssl 证书的验证,也就是下面这段代码

var httpclientHandler = new HttpClientHandler();
httpclientHandler.ServerCertificateCustomValidationCallback = (sender, cert, chain, error) => true;
var httpClient = new HttpClient(httpclientHandler);

在这个时候,无论被调用方的证书是否有问题,都可以成功请求。

ServerCertificateCustomValidationCallback 这个 Func 就是让客户端进行服务端证书检验的一个回调,可以添加很多自定义的逻辑进去。

下面是它的定义:

public Func<HttpRequestMessage, X509Certificate2?, X509Chain?, SslPolicyErrors, bool>? ServerCertificateCustomValidationCallback { get; set; }

我们就可以通过 X509Certificate2 来进行服务端证书过期时间的判断了。

static bool ValidateCertificate(object sender, X509Certificate? certificate, X509Chain? chain, SslPolicyErrors sslPolicyErrors)
{
    if (certificate == null) return true;

    var expirationDate = DateTime.Parse(certificate.GetExpirationDateString(), CultureInfo.InvariantCulture);
    
    // 提前 x 天预警,正常是提前一个月
    if (expirationDate - DateTime.Today < TimeSpan.FromDays(30))
    {
        throw new NeedRenewException("It's time to renew the certificate!");
    }
    
    if (sslPolicyErrors == SslPolicyErrors.None)
    {
        return true;
    }
    else
    {
        throw new CertPolicyException($"Cert policy errors: {sslPolicyErrors.ToString()}");
    }
}

最后把上面的 ValidateCertificate 加到 HttpClientHandler 里面即可。

static async Task HttpClientSSLCheck(string domain)
{
    HttpClientHandler clientHandler = new()
    {
        ServerCertificateCustomValidationCallback = (sender, cert, chain, sslPolicyErrors) 
                => ValidateCertificate(sender, cert, chain, sslPolicyErrors)
    };

    try
    {
        using CancellationTokenSource cts = new(3000);
        using HttpClient client = new(clientHandler);
        await client.GetAsync($"https://{domain}", cts.Token);

        Console.WriteLine($"{domain} is OK {nameof(HttpClientSSLCheck)}");
    }
    catch (TaskCanceledException)
    {
        Console.WriteLine("canceled");
    }
    catch (Exception e)
    {
        // 集成企微、钉钉或其他类型的通知
        if (e.InnerException is CertPolicyException)
        {
            Console.WriteLine($"{domain} | ex = {e.InnerException.Message}");
        }
        else if (e.InnerException is NeedRenewException)
        {
            Console.WriteLine($"{domain} | need to renew !!");
        }
        else
        {
            Console.WriteLine($"{domain} | ex = {e.Message}");
        }
    }
}

最后就是调用

await HttpClientSSLCheck("github.com");

方式二 TcpClient

TcpClient 相对 HttpClient 的话会稍微底层一点点,需要借助 SslStream 来完成证书的校验。

NetworkStream -> SslStream

这里会复用上面的 ValidateCertificate 方法。

static async Task TcpClientSSLCheck(string domain)
{
    try
    {
        using TcpClient tcpClient = new();
        using CancellationTokenSource cts = new(3000);
        await tcpClient.ConnectAsync(domain, 443, cts.Token);

        using var stream = tcpClient.GetStream();
        using SslStream ssl = new(stream, false, ValidateCertificate);
        await ssl.AuthenticateAsClientAsync(domain);

        Console.WriteLine($"{domain} is OK {nameof(TcpClientSSLCheck)}");
    }
    catch (TaskCanceledException)
    {
        Console.WriteLine("canceled");
    }
    catch (Exception e)
    {
        HandleException(domain, e);
    }
}

效果和前面是一样的。

方式三 Socket

Socket 相对 TcpClient 和 HttpClient 的话就更加底层一点了,同样需要借助 SslStream 来完成证书的校验。

本质上也是 NetworkStream -> SslStream

static async Task SocketSSLCheck(string domain)
{
    try
    {
        using Socket socket = new(AddressFamily.InterNetwork, SocketType.Stream, ProtocolType.Tcp);
        using CancellationTokenSource cts = new(3000);
        await socket.ConnectAsync(domain, 443, cts.Token);

        using SslStream ssl = new (new NetworkStream(socket, false), false, ValidateCertificate);
        await ssl.AuthenticateAsClientAsync(domain);

        Console.WriteLine($"{domain} is OK {nameof(SocketSSLCheck)}");
    }
    catch (TaskCanceledException)
    {
        Console.WriteLine("canceled");
    }
    catch (Exception e)
    {
        HandleException(domain, e);
    }
}

最后来看看三个方式的使用情况

总结

上面的是单个域名的实现,有可能现实场景中我们会针对某个域名下面的所有二级域名进行一次检测,避免出现漏网之鱼,那么这个时候就可以结合域名提供商提供的 API 接口,获取所有的解析,组装二级域名,然后依次去判断证书过期情况。

最后也可以结合 dotnet-tool + 定时任务的方式做到检查和通知的方式。

引用地址 

寒冰屋
关注
专栏目录
c#获取ssl证书有效性_SSL证书证书有效期及证书链获取
weixin_39989668的博客
01-17 565
importdatetimeimportsocketimportjsonimportrefrom OpenSSL importSSLimportlogging"""pip install pyOpenSSL"""defchoice2dict(choices):""":param choices: [('a', '1'), ('b', '2'),]:return:"""trans=dict()for...
C# 解决 https请求 ssl证书问题,看我一篇通通解决
捉虫大仙里
11-08 6754
【代码】C#和.net core关于ssl证书的问题,看我一篇通通解决。
C#代码实现HTTP/HTTPS的GET、POST请求
最新发布
canyingfeixue的专栏
09-12 736
也是自己手工写的,代码如下。
C#: 根据url获取https的的证书有效期
我想我是海 冬天的大海 心情随风轻摆
09-21 719
【代码】C#: 根据url获取https的的证书有效期。
通过脚本实现 SSL 证书到期监控
愿许浪尽天涯的博客
02-17 3540
通过脚本实现 SSL 证书到期监控
c#获取ssl证书有效性,如何在.NET中验证HTTPS / SSL证书的有效性?
weixin_28693447的博客
01-17 412
How can you verify validity of an HTTPS/SSL certificate in .NET?Ideally I want to establish an HTTPS connection to a website and then find out if that was done in a valid way (certificate not expired,...
c# https请求忽略证书验证_https绕过证书认证请求 Get或Post请求(证书过期,忽略证书)...
weixin_42132352的博客
12-29 1912
报错信息javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certific...
生成证书:在不到一分钟的时间内生成自签名SSLTLS证书。 使用ECDSA证书(比RSA更安全)。 支持Windows,Linux和Mac
02-17
这是一个Windows / Linux / Mac应用程序,可生成包括根CA证书在内的自签名SSL / TLS证书。 文件创建 选项#1-1证书: 选项#2-2个证书: 为什么要使用生成证书? 使用该程序只需1分钟,而输入和调整所有命令和...
C#CA证书操作类
对信仰的忠诚丶
09-06 7114
using System; using System.Collections; using System.Globalization; using System.IO; using System.Text; using Common.DEncrypt; using Email.Models; using NHibernate; using Org.BouncyCastle.Asn1
C# TLS SSL TCP双向认证 X509Store SslStream Certificate
09-25
本地证书名称 CN=TestServer 证书有效期 2018/9/25 11:32:24 证书到期时间 2040/1/1 7:59:59. 远程证书为空. 显示流属性 流是否可读: True, 是否可写 True 流是否超时: True 发送 hello 消息. 等待客户端的消息... ...
c#单点登录源码
06-28
- **WCF安全**:Windows Communication Foundation(WCF)提供了一种构建分布式应用程序的方式,支持多种安全模式,包括消息、传输和证书,可以用来实现SSO。 - **OAuth 2.0 和 OpenID Connect**:现代Web应用更...
C# https交互自动导入证书源代码
07-18
利用网络https协议向后台发送数据请求并返回数据,可以判断是否在客户端安装了证书,如没有安装可以在后台自动下载证书安装。源码
C# SSL服务端连接及安装数字证书
09-02
C# SSL服务端连接及安装数字证书
C#软件授权源码.rar
10-17
在IT行业中,C#是一种广泛使用的面向对象的编程语言,由微软公司开发并应用于.NET框架。本主题聚焦于"C#软件授权源码",这通常指的是用于创建软件许可验证的代码,确保用户正确使用和授权软件。源码是程序的原始形式...
https安全证书过期失效的原因以及解决方法
chuozhaobang0064的博客
05-11 3351
 一、网站https安全证书过期原因分析: 1、当前电脑系统时间错误,所有的http安全证书都有颁发日期和截止日期,电脑系统时间证书有效时间区间之外有可能导致浏览器提示网站https安全证书过期或还未生效。 2、网站的https安全证书确实已经过期,根据https安全证书签发国际标准,...
C# - 关于过期Token的解决方案
p15097962069的博客
08-11 458
C# - 关于过期Token的解决方案
使用httpclient加载证书
liberty888的博客
07-21 380
使用httpclient加载证书
通过HTTPS使用HttpClient信任所有证书
asdfgh0077的博客
02-13 4025
最近在Https上发布了有关HttpClient的问题( 在此处找到 )。 我取得了一些进展,但遇到了新问题。 与我的最后一个问题一样,我似乎找不到任何适合我的示例。 基本上,我希望我的客户
HttpClient实现HTTPS客户端编程---可信证书与自签名证书
崔向阳@李晓的博客
08-21 4234
问题描述:使用HttpClient请求https连接(连接不是被信任的,自签名证书),报如下错误: 访问代码如下: public class TestHttps12306 { public static String getHtmlStringFromHttp(String url) { String str = ""; HttpClient httpclient = new ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值