无需大量修改代码的简便修复方案 #

• 导入外部服务证书到本地信任存储
  既然无法控制外部服务的证书，这是最可靠的无代码修改方案：

  1. 用浏览器打开外部服务的HTTPS地址，点击地址栏锁形图标，查看证书详情
  2. 将证书导出为Base64编码的X.509格式（.cer文件）
  3. 打开「管理计算机证书」（或「管理用户证书」，根据应用运行权限选择），定位到「受信任的根证书颁发机构」→「证书」，右键选择「所有任务」→「导入」，按向导完成证书导入
     此操作让系统直接信任该服务的证书，从根源解决信任链问题。

• 通过GeneXus可视化配置调整
  GeneXus自带Web服务配置项，无需手动写代码：

  1. 在GeneXus开发环境中找到对应的Web服务消费者对象
  2. 打开属性面板，找到「Security」分类，确认是否有TLS版本选择项，直接指定TLS 1.2
  3. 查看是否有「Certificate Validation」相关开关，尝试关闭证书验证（部分GeneXus版本支持可视化配置）

其他尝试方向 #

• 检查证书链完整性
  外部服务的证书可能缺少中间证书，导致信任失败。可以用命令openssl s_client -connect 目标域名:443查看完整证书链，若存在未被信任的中间证书，将其导入到本地「中级证书颁发机构」存储中。
• 确认自定义代码的执行时机
  之前设置ServicePointManager.SecurityProtocol或ServerCertificateValidationCallback未生效，可能是GeneXus生成的代码更早初始化了Web服务客户端，覆盖了你的设置。建议将这些代码放到项目启动入口（如Global.asax的Application_Start方法），确保在任何Web服务调用前执行。
• 排查代理服务器干扰
  如果应用通过代理访问外部服务，代理可能拦截SSL连接并替换证书，导致验证失败。可以尝试绕过代理直接访问服务，或配置代理的SSL信任规则。

内容的提问来源于stack exchange，提问作者Nahuel Viera