Error an error occurred when verifying security for the message

Error occurred verifying security message

Answered by:

Question

I have a WCF service and it is http not https, it is added in . now the team update the service and the new link is https,

once I changed the endpoint address to https, I got error «The provided URI schema ‘https’ is invalid; expected ‘http’. Parameter name:via»

services app WebConfig:

Answers

Hi Khalid Salameh,

As far as I think, you could switch from wsHttpBinding to basicHttpBinding to fix this.

Do you need SOAP 1.1 or application/soap+xml; charset=utf-8? Because SOAP 1.1 specification says that the request must have text/xml as the media type. application/soap+xml is media type for SOAP 1.2. Forcing WCF to use SOAP 1.1 with application/soap+xml (= invalid SOAP) would require bigger changes than changing the binding. You will need some custom message encoder or perhaps transport channel.

More details,you could refer to below article:

Источник

Произошла ошибка при проверке безопасности сообщения

когда я пытаюсь вызвать службу WCF я получаю следующее сообщение «произошла ошибка при проверке безопасности сообщения.»

когда я удаляю пользовательскую аутентификацию, служба работает без проблем. Я не могу понять, что я неправильно сконфигурировал в своей сети.конфиг. Любое понимание будет оценено.

7 ответов

Я получал это же сообщение об ошибке, и оказалось, что это связано с разницей во времени между моей рабочей станцией и сервером, на котором размещена служба WCF. Сервер был около 10 минут позади моей машины, и WCF security, похоже, не очень нравится.

чтобы найти корневую проблему, я включил serviceSecurityAuditing в конфигурационном файле сервера. Добавьте в конфигурацию/систему следующее.serviceModel / поведение / serviceBehaviors / раздел поведение для вашего обслуживания:

следующий сайт был полезен в выяснении этого:

другая причина это сообщение, когда некоторые из ваших машин не синхронизированы во времени. WCF по умолчанию допускает пятиминутный разрыв; кроме того, он выдает ошибку, если что-то не синхронизировано.

раствор для синхронизации всех ваших машин. time.windows.com славится тем, что не работает, поэтому я предлагаю использовать что-то другое. (Если вы находитесь в корпоративной среде, локальный контроллер домена может быть правильный выбор.)

Это оказалось проблемой на стороне потребления, а не с самой службой. Webmethods 8 программного обеспечения AG потреблял этот сервер, но не было никакого обработчика безопасности, добавленного к службе, поэтому учетные данные не были добавлены в заголовок, что привело к вышеупомянутой ошибке.

Я получаю ту же ошибку на моем сервере IIS 7.5. Я забыл добавить разрешение на чтение на закрытый ключ сертификата в виртуальный аккаунт пула приложений (например, IIS AppPoolASP.NET v4.0).

для информации, тестируя различные комбинации учетных записей и разрешений, я заметил, что пул приложений необходимо переработать, чтобы потерять доступ к ключу, как только он был извлечен один раз.

(0x80131501-произошла ошибка при проверке безопасности сообщение.)

Я получал ту же ошибку, и ни одна из вышеперечисленных помощь для меня.

Я, наконец, отследил его до connectionStrings в родительской сети.config (моя служба была развернута в дочернем приложении на сайте администратора).

Да, звучит смешно, но как только я завернул строки подключения в родительской сети.config с элементом location все начали работать.

для ясности, в родительской сети.config я изменил это

обратите внимание, что эта ошибка также привела к этому очень бесполезному serviceSecurityAudit сообщение:

ошибка проверки подлинности сообщения.
Услуга. .
Действие:http://schemas.xmlsoap.org/ws/2005/02/trust/RST/SCT
ClientIdentity:
Значение activityid:
ArgumentNullException: значение не может быть null.
Имя параметра: менеджер

Я получал ту же ошибку. Я забыл добавить разрешение на чтение в базу данных членства aspnetdb в (IIS APPPOOLDefaultAppPool).

ошибка проверки подлинности сообщения. Услуга.

SqlException: не удается открыть базу данных «aspnetdb», запрошенную логином. Ошибка входа в систему.

ошибка входа в систему для IIS пользователя Пула средством’.

имя пользователя и пароль сервер подключения,а не ваши имя пользователя и пароль для входа в систему.

Источник

Soap Fault: [InvalidSecurity]: An error occurred when verifying security for the message

I’m new to SOAtest and just trying to get a simple WSDL operation to go to an endpoint and return a response. We require a Basic authentication with a Username and Password, which I provide. I keep getting this error no matter how basic the operation request I use.

I am an avid SoapUI user and these work without a problem. I’ve compared the SoapUI raw request with the SOAtest request information and everything looks correct. I’ve even found the system clock can sometimes cause this error, but that didn’t work either.

Not sure if rebooting will help, I will try that next although I believe I just came from a reboot. This did run once correctly but I cannot get it to run again.

PLEASE help! As this seems to be such a minor issue, but I’m not able to get any real work done. It’s got me dead in the water.

I look forward to any help or suggestions to get this working.

Thanks a lot in advance!

An error occurred when verifying security for the message

This is a Microsoft error message, typically returned from web services implemented using the .NET WCF web service stack. SOAtest will show the message from the SOAP Fault in the traffic viewer and Quality Task view.

The actual reason for such errors is generally not returned back to the client for security reasons. In order to determine the actual reason (as opposed to you or I guessing) there should be a way to enable logging on the web service and then check those logs for the answer.

I’ve even found the system clock can sometimes cause this error, but that didn’t work either.

I usually see something like this for web services that use WS-Security, where the request has a WS-Security header containing a timestamp. If the timing skew between the timestamp in the message and the server’s clock is too great then this would trigger the service to return a security error. .NET WCF services have a «maxClockSkew» property that can be configured in its security configuration.

We require a Basic authentication with a Username and Password, which I provide

I’d recommend double checking that. For example, you were thinking system clock may be a factor but Basic Authentication doesn’t involve any timestamps being sent in any requests. Maybe the authentication is really sent as something else like Digest or NTLM authentication?

Something else you can try is by selecting the «.NET WCF HTTP» transport instead of the «HTTP 1.0/1.1» transport. If you provide the SOAP Client with a WSDL for your .NET web service then then SOAP Client will apply the message and transport security to the message automatically when the test is executed, including adding of any WS-Security headers. There are general username and password fields in the settings for the «.NET WCF HTTP» transport.

Источник

«An error occurred when verifying security for the message» — WCF certificate-based authentication

I am attempting to set up cert-based client authentication in a WCF service. I am using .NET 4.7.2.

I am testing both the host app and the client on the same machine. The intended behaviour is that the client uses a cert retrieved from a machine store to authenticate against the service.

I can see that channelFactory does have the desired certificate set. I can see that it has a private key set, when I view it via certmgr. I can see that its root cert is in the machine’s root store.

This is how the client connects:

This is how the service is set up:

I have removed a lot of code from both of the above that I understand to be unrelated.

The connection fails with the message «An error occurred when verifying security for the message». I don’t know what is wrong or how to investigate it.

As suggested by stuartd, I added a security audit behavior. I did this programmatically as follows:

If the security isn’t set in the client, the following is logged:

MessageSecurityException: Security processor was unable to find a security header in the message. This might be because the message is an unsecured fault or because there is a binding mismatch between the communicating parties. This can occur if the service is configured for security and the client is not using security.

If it is set as above, then nothing is logged and it doesn’t connect.

Источник

Error occurred verifying security message

Question

I have a WCF service and it is http not https, it is added in . now the team update the service and the new link is https,

once I changed the endpoint address to https, I got error «The provided URI schema ‘https’ is invalid; expected ‘http’. Parameter name:via»

services app WebConfig:

Answers

Hi Khalid Salameh,

As far as I think, you could switch from wsHttpBinding to basicHttpBinding to fix this.

Do you need SOAP 1.1 or application/soap+xml; charset=utf-8? Because SOAP 1.1 specification says that the request must have text/xml as the media type. application/soap+xml is media type for SOAP 1.2. Forcing WCF to use SOAP 1.1 with application/soap+xml (= invalid SOAP) would require bigger changes than changing the binding. You will need some custom message encoder or perhaps transport channel.

More details,you could refer to below article:

Источник

pavel.kozak	#1 Оставлено : 10 января 2020 г. 10:23:50(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 13.12.2019(UTC) Сообщений: 15	Добрый день. Пока вопрос туманный, т.к. нет полного понимания происходящего. Есть устоявшийся проект с использованием КриптоПро 4.0 + КриптоПро .NET (6893 работает стабильно), используется для подключения к Web сервису по WCF (Гост 2012). Начали миграцию проекта на NET Core 3.x + .NET Framework 4.7.2, до этого была смесь Core 2.x + .NET Framework 4.6.1. Предположительно(т.к. ставим средствами VS 2019, что он там ещё тянет под сомнением) после установки на машину SDK Core 3.x + SDK .NET Framework 4.8 + соответственно сам коре и фреймфорк получаем проблемы с WCF в существующем проекте, т.е. изменений в сам проект ещё не внесли, только установили Core + FrameWork посвежее. При попытке подключения к сервису с авторизацией по ГОСТ ключу 2012, получаем ошибку: Коллекция шифрования маркера не поддерживает алгоритм «urn:ietf:params:xml:ns:cpxmlsec:algorithms:transport-gost2012-256». Т.е. поведение, как будто не установлен КриптоПро .NET. Переустанавливаем весь комплект КриптоПро + КриптоПро .NET. Результата нет. Проверено на двух машинах Windows 10 И Windows Server 2012 R2. Сответсвующие лицензии есть и на рабочие станции и на сервер. Для проверки пришлось VS 2019 на сервер поставить, т.к. думали причина в Windows 10. Интересный момент, попробовали поднять версию Крипто Про .NET (SDK Крипто Про .NET поднимали соответственно) до 7132 Выше указанная ошибка на этапе подключения пропала, но при вызове получили другую ошибку: System.ServiceModel.FaultException: An error occurred when verifying security for the message. Попробую узнать какую версию SDK Крипто Про использует поставщик Web Сервиса. Отредактировано пользователем 10 января 2020 г. 10:25:30(UTC)  | Причина: Не указана

Максим Коллегин	#2 Оставлено : 10 января 2020 г. 10:54:47(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,255 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 660 раз в 583 постах	Обновлять КриптоПро .Net при обновлении .Net нужно с вероятностью 90% Для .Net Core мы делаем fork (обсуждается в соседней ветке), но до WCF там ещё далеко.
Знания в базе знаний, поддержка в техподдержке
	WWW

pavel.kozak	#3 Оставлено : 10 января 2020 г. 11:02:18(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 13.12.2019(UTC) Сообщений: 15	Спасибо. Да, форк видели но не решились, поэтому и смесь Core 98% + Framework 2%. Сосредоточимся тогда на вопросе почему не работает с .NET КриптоПро 7132. Попробуем ещё раз пересобрать с новым SDK 7132, может что-то упустил. Насколько важно, что бы .NET КриптоПро был одинаковый на клиенте и на сервере? Мне кажется должно быть все равно. На сервер повлиять мы не сможем.

Максим Коллегин	#4 Оставлено : 10 января 2020 г. 11:11:32(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,255 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 660 раз в 583 постах	Автор: pavel.kozak Насколько важно, что бы .NET КриптоПро был одинаковый на клиенте и на сервере? Мне кажется должно быть все равно. На сервер повлиять мы не сможем. Не должны быть одинаковыми. Постарайтесь собрать трассировку WCF — посмотрим.
Знания в базе знаний, поддержка в техподдержке
	WWW

pavel.kozak	#5 Оставлено : 10 января 2020 г. 13:10:45(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 13.12.2019(UTC) Сообщений: 15	Пересобрал с последним SDK. Если по трейсу, то получается следующий порядок: Пытаемся вызвать удаленную функцию TestAuthentication Поставщик токена безопасности открыт. На клиенте запущен сеанс безопасности. Подлинность EndpointReference была определена. Успешно выполнена аутентификациа. Протокол безопасности обеспечил защиту исходящего сообщения. Через канал отправлено сообщение Через канал получено сообщение Через канал запроса получен ответ. Генерирование исключения «Процессору безопасности не удалось найти заголовок безопасности в сообщении. Это может быть вызвано тем, что сообщение не защищено или имеет место несоответствия привязки между взаимодействующими сторонами. Это может произойти, если служба настроена с режимом безопасности, а клиент не применяет режим безопасности.» Незащищенное или неправильно защищенное сообщение об ошибке было получено от другой стороны. Протоколу безопасности не может проверить входящее сообщение. Конец. Тот же код с предыдущей версией работает корректно. Пока не возможности проверить на чистой машине свежий SDK КриптоПро на старом фреймвекке.

pavel.kozak	#6 Оставлено : 10 января 2020 г. 13:19:38(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 13.12.2019(UTC) Сообщений: 15	Автор: Максим Коллегин Не должны быть одинаковыми. Постарайтесь собрать трассировку WCF — посмотрим. Оказывается, все таки есть зависимости. https://br.so-ups.ru/Pub…ws=%5Bobject%20Object%5D Как-то упустил эту новость. Теперь тупичок, придется ещё одну кашу делать и запускать прослойку на машине со старым фремвёрком и старым .NET КриптоПро :(.

Максим Коллегин	#7 Оставлено : 10 января 2020 г. 20:27:26(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,255 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 660 раз в 583 постах	Странно, ничего не слышал про это. Изучим вопрос.
Знания в базе знаний, поддержка в техподдержке
	WWW

Артём Макаров	#8 Оставлено : 13 января 2020 г. 8:31:35(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 20.02.2017(UTC) Сообщений: 185 Сказал(а) «Спасибо»: 4 раз Поблагодарили: 48 раз в 48 постах	Добрый день. Подскажите, какой сейчас target framework задан в проекте? Какая привязка используется? Если возможно приложите файл конфигурации клиента (app.config). Можете приложить wcf trace и messssage log с ошибкой? Как собирать можно посмотреть тут — https://docs.microsoft.c…figuring-message-logging Пример — Код: <system.diagnostics> <sources> <source name="System.ServiceModel.MessageLogging" switchValue="All"> <listeners> <add type="System.Diagnostics.DefaultTraceListener" name="Default"> <filter type="" /> </add> <add name="ServiceModelMessageLoggingListener"> <filter type="" /> </add> </listeners> </source> <source name="System.ServiceModel" switchValue="All" propagateActivity="true"> <listeners> <add type="System.Diagnostics.DefaultTraceListener" name="Default"> <filter type="" /> </add> <add name="ServiceModelTraceListener"> <filter type="" /> </add> </listeners> </source> </sources> <sharedListeners> <add initializeData="C:logsmy_service_web_messages.svclog" type="System.Diagnostics.XmlWriterTraceListener, System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ServiceModelMessageLoggingListener" traceOutputOptions="Timestamp"> <filter type="" /> </add> <add initializeData="C:logsmy_serice_web_tracelog.svclog" type="System.Diagnostics.XmlWriterTraceListener, System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ServiceModelTraceListener" traceOutputOptions="Timestamp"> <filter type="" /> </add> </sharedListeners> <trace autoflush="true" /> </system.diagnostics>
Техническую поддержку оказываем тут Наша база знаний

pavel.kozak	#9 Оставлено : 13 января 2020 г. 10:01:40(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 13.12.2019(UTC) Сообщений: 15	Автор: Максим Коллегин Странно, ничего не слышал про это. Изучим вопрос. Насколько успел узнать, тикет поставщиком сервиса создавался, примерно в то время когда они писали эту новость.

pavel.kozak	#10 Оставлено : 13 января 2020 г. 10:11:57(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 13.12.2019(UTC) Сообщений: 15	Автор: Артём Макаров Подскажите, какой сейчас target framework задан в проекте? Проверяли несколько, поведение и ошибка одинаковые и на 4.6.2, 4.7.1, 4.8. Версия .NET Крипто про — 7132. Основной Крипто Про ставился последний 4.0, 9963. Автор: Артём Макаров Какая привязка используется? WSHttpBinding Это пример со стенда, в основном проекте вместо конфига настройка из кода идет. Но значения те же. <wsHttpBinding> <binding name=»wsHttpCertificateBinding» closeTimeout=»01:00:00″ openTimeout=»01:00:00″ receiveTimeout=»01:00:00″ sendTimeout=»01:00:00″ maxBufferPoolSize=»52428800″ maxReceivedMessageSize=»52428800″> <readerQuotas maxStringContentLength=»2147483647″/> <security> <message clientCredentialType=»Certificate» negotiateServiceCredential=»false»/> </security> </binding> </wsHttpBinding> <endpoint address=»http://br.so-ups.ru:8091/PersonalApi/PersonalApiService.svc/ByCertificate» binding=»wsHttpBinding» bindingConfiguration=»wsHttpCertificateBinding» contract=»PersonalApiService.IPersonalApiService» name=»wsHttpCertificateEndpoint»> <identity> <certificateReference findValue=»5cee4b2593de373e184377a718bb5af83dea466b» x509FindType=»FindByThumbprint» storeLocation=»LocalMachine» storeName=»My» /> </identity> </endpoint> Автор: Артём Макаров Можете приложить wcf trace и messssage log с ошибкой? Я отправлю в личку, то что собрали в пятницу с нашими настройками, если не подойдет, то позже сниму с вашими рекомендациями.

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Comments

I have a problem connecting to my WCF service with clientCredentialType="UserName".

When I run the code below I get an error

FaultException: An error occurred when verifying security for the message.

When playing around with some of the binding values I also get Access is denied..

Fiddler says there is no authorization header and I cannot find the username or password in the request either.

Here are excerpts from my config:

  <system.webServer>
    <modules runAllManagedModulesForAllRequests="true"/>
  </system.webServer>
    <services>
      <service name="InventoryServices.MobileAPI"  behaviorConfiguration="customBehaviour">
        <endpoint address=""
                  binding="basicHttpBinding"
                  bindingConfiguration="secureHttpBinding"
                  contract="InventoryServices.IMobileAPI"/>

        <endpoint address="mex"
                  binding="mexHttpsBinding"
                  contract="IMetadataExchange" />
      </service>
    </services>
    <behaviors>
      <serviceBehaviors>
        <behavior name="customBehaviour">
          <serviceSecurityAudit auditLogLocation="Application" serviceAuthorizationAuditLevel="Failure" messageAuthenticationAuditLevel="Failure" suppressAuditFailure="true" />
          <!-- To avoid disclosing metadata information, set the value below to false and remove the metadata endpoint above before deployment -->
          <serviceMetadata httpsGetEnabled="true"/>
          <!-- To receive exception details in faults for debugging purposes, set the value below to true.  Set to false before deployment to avoid disclosing exception information -->
          <serviceDebug includeExceptionDetailInFaults="true"/>
          <serviceCredentials>
            <userNameAuthentication userNamePasswordValidationMode="Custom"
               customUserNamePasswordValidatorType="InventoryLibrary.Helpers.UserAuthentication,InventoryLibrary"/>
          </serviceCredentials>
        </behavior>
      </serviceBehaviors>
    </behaviors>
    <serviceHostingEnvironment multipleSiteBindingsEnabled="true" />
    <bindings>
      <basicHttpBinding>
        <binding name="secureHttpBinding">
          <security mode="TransportWithMessageCredential">
            <transport clientCredentialType="Basic" proxyCredentialType="Basic" realm="MyRealm"/>
            <message clientCredentialType="UserName" algorithmSuite="Default"  />
          </security>
        </binding>
      </basicHttpBinding>
    </bindings>

My username/password validator looks like so:

  public class UserAuthentication : UserNamePasswordValidator {
        public override void Validate(string userName, string password) {

            EntitiesContext db = new EntitiesContext();
            db.Logs.Add(new DomainModels.Log() {
                DateLogged = DateTime.Now,
                Message = "hit auth",
                Type = DomainModels.LogType.Info
            });
            db.SaveChanges();

            try {

                if (userName == "test" && password == "test123") {
                    Console.WriteLine("Authentic User");
                }
            }
            catch (Exception ex) {
                throw new FaultException("Unknown Username or Incorrect Password");
            }
        }
    }

I have this as a simple test on my service:

[OperationContract]
[XmlSerializerFormat]
void Test();

[PrincipalPermission(SecurityAction.Demand, Name = "test")]
public void Test() {

}

I have a self signed SSL certificate on my server and I can access my service/metadata.

Then I have added a service reference in a console application, and attempt to connect to the service with this code below:

class Program {
    static void Main(string[] args) {

        Stuff.InitiateSSLTrust();

        BasicHttpBinding binding = new BasicHttpBinding();
        binding.Security.Mode = BasicHttpSecurityMode.Transport;
        binding.Security.Transport.Realm = "MyRealm";

        ServiceReference1.MobileAPIClient serviceProxy = new ServiceReference1.MobileAPIClient(binding, new EndpointAddress("https://xx.xx.xx.xx/InventoryServices.MobileApi.svc"));

        serviceProxy.ClientCredentials.UserName.UserName = "test";
        serviceProxy.ClientCredentials.UserName.Password = "test123";

        try {

            var a = serviceProxy.Login("a", "b");
        }
        catch (Exception ex) {
            var ex2 = ex;
        }
    }
}

public class Stuff {
    public static void InitiateSSLTrust() {
        try {
            //Change SSL checks so that all checks pass
            ServicePointManager.ServerCertificateValidationCallback =
                new RemoteCertificateValidationCallback(
                    delegate { return true; }
                );
        }
        catch (Exception ex) {
        }
    }
}

I’ve checked the event viewer on the server and this error appears with each request:

MessageSecurityException: Security processor was unable to find a security header in the message. This might be because the message is an unsecured fault or because there is a binding mismatch between the communicating parties. This can occur if the service is configured for security and the client is not using security.