WCF使用UserName身份验证的证书和消息安全性

Question

我准备创建一个WCF服务，我们的客户可以使用它来更新我们系统中的数据。所以它必须可以在互联网上使用。我有一本关于WCF的书，我知道Message Security是在因特网上提供WCF服务的方法。这是因为您不应该使用传输安全性，因为它只应该在可以保证服务和客户端之间存在点对点连接的环境中使用。我说对了吗？因此，我希望结合自定义UserName身份验证来使用Message。我知道我必须拿到证书才能做到这一点。我们公司已经拥有一个SSL证书，用于我们的网站。

• Can我使用相同的证书来保证WCF Service?

的消息安全性。

和

• Is消息安全方式可与期望ASMX Webservice?

的客户端互操作

出于测试目的，我用Makecert创建了自己的证书。它工作得很好，但我总是必须将证书添加到客户机上的Trusted Persons中。

• Is可以使用上述证书启用 Message Security ，而不必强制客户端手动将证书添加到 Trusted Persons ？

中。

现在，让我们假设以下场景：

​

​

ISA-服务器/防火墙后面有两个ISA服务器。此ISA-Server保存www.company.com地址的证书。所以所有的SSL都是由它来处理的。它还相应地将传入的请求转发给the服务器。新创建的WCF服务应该在第二个WCF服务器上运行。

• Do我必须将证书复制到webserver才能使用 Message Security**?**

如果是，我听说复制证书不是很好的做法，因为它降低了安全性。将证书移动到Web服务器不是一个选项，因为webserver 1上的网站也需要它。

• What是我在case?

中的选择

和：

• What将是此场景的最佳实践，而不考虑给定的需求？

。

谢谢..。

Answer 1

准备得很好的问题。首先，我可能读过同一本书，我想澄清这一说法：

，这是因为您不应该使用传输安全性，因为它只应该在可以保证服务和客户端之间存在点对点连接的环境中使用。

是。HTTPS (传输安全)只提供点对点安全，但国际海事组织的人并不正确地理解这种情况。您是否认为，如果您通过HTTPs连接到您的Internet银行，那么它会随机地处于从HTTPS到HTTP的Internet交换通信的中间位置吗？不是的！点对点连接是指提供所请求的URL的客户端和被访问网关之间的安全传输通道.在您的场景中，它意味着客户端和ISA服务器之间的安全传输通道。您的ISA和Web 2之间的通信将不安全。如果希望端到端提供客户端和Web服务器2之间的安全通道(ISA将无法拦截消息)，则需要消息安全性。

下面是你的其他问题：

服务的消息安全性可以使用相同的证书吗？

可以，但您必须将私钥复制到Web 2。

是否可以与期望使用ASMX的客户端互操作消息安全方式？

不是的。纯ASMX客户端不能使用消息安全，除非您编写了大量自定义SOAP头和扩展，或者安装了WSE3.0。

是否可以使用上述证书启用消息安全性，而不强制客户端手动将证书添加到受信任人员？

是的，但是发布证书的证书颁发机构必须在客户端机器上被信任。HTTPS也是如此。具有消息安全性的服务也可以在WSDL中公开证书的拇指指纹。客户端可以使用此拇指指纹验证服务标识。我认为在这种情况下，您也不需要在客户端上安装证书，但是当证书过期时，所有客户端都必须进行更新。

，我必须将证书复制到the服务器上才能使用消息安全性吗？

是的你一定要。但这可能是一个问题，因为出于安全原因，证书可以标记为不可导出。最好的解决方案就是为此目的请求新的证书。