dara-j

まずは1発目。

いま抱えてる仕事が月末納期で、そろそろ詰めの段階にきているのだが、本番系のサーバに暫定でオレオレ証明書を入れてSSL通信を始めた。

基本はWebアプリなのだが、印刷周りだけはWebじゃ如何ともしがたいため、C#で印刷アプリも作っていて、認証と基本情報の取得にWebアプリとHttpWebRequestで通信を行っているのだが、これがいきなりハマった。「リモート サーバーとの信頼関係を確立できませんでした」というやつだ。

証明書のインストールが必要かと思い、IEでアクセスして証明書のインストールを行ったが状況が改善しない。IEで表示される警告をよくよく読んでみると、どうやら（証明書の発行元が確認できないのはもちろんだが）証明書そのものが通信しているサーバ向けではなく、他のサイト向けとして発行されているとのことだ。

で、もう少し調べてみたら、MicrosoftのKBで「PRB:「 System.Net.WebException」 基になる接続は、閉じられました。 「リモート サーバーとの信頼関係は確立できる」でした。 .NET Framework をアップグレードすると、エラー メッセージ」なんてのが見つかった。

機械翻訳なので少々アレだが、

他のシナリオは、存在します。 たとえば、外部クライアント versus 内部的に一部のネットワークが別の名前解決方式を使用します。証明書が(www.adatum.com)などパブリック URL とイントラネット アプリケーションでサーバーに発行される場合に、内部ドメインネーム システム DNS サーバーは、(www.internal.corporate.adatum.com)など同じサーバーの別の名前を指定します。 この SSL での Web サービスの要求は、失敗することがあります。 この変更は、 SSL を使用する Web サービスのセキュリティを強化するのが行われます。

PRB:「 System.Net.WebException」 基になる接続は、閉じられました。 「リモート サーバーとの信頼関係は確立できる」でした。 .NET Framework をアップグレードすると、エラー メッセージ

なので、このページに掲載されていたサンプルにあるように、「サーバが送りつけてきた証明書を無条件に信頼するICertificatePolicyを実装し、ServicePointManagerに設定する」という、なんともアレな回避策で無事（？）回避することができた。

ま、リリース時はちゃんとした証明書を発行してもらう（つか、手続き中）ので問題ないんだけども、なんだかなぁ、というお話でした。