客户端计算机上的SSL服务器端证书？

Question

有一个带有WCF客户端的服务器，它定期通过internet与安装在我们客户端计算机上的许多WCF服务进行通信。WCF服务和WCF客户端托管在Windows中，当前绑定是basicHttpBinding。

通信必须通过https进行相互认证。公司订购了SSL证书，但尚不清楚该证书是否可以安装在客户端计算机上(因为WCF服务在那里)，而不公开私钥。绑定可以是具有传输或消息安全性但使用证书的basicHttpBinding或wcHttpBinding。

是否可以在客户端计算机上安装服务端证书，在我们的服务器上安装客户端证书？应该重新工作这个体系结构，以便WCF服务在我们的服务器上，还是可以以某种方式保护当前的解决方案？

Answer 1

所涉及的每台计算机都需要自己的证书。用于身份验证的证书值依赖于私钥的唯一性。私钥永远不会离开主机，并且证书可以用于对所述机器进行身份验证(因为是世界上唯一拥有该私钥的机器)。一旦您开始分发私钥副本，安全性就会受到很大影响。

通常，这种部署依赖于PKI基础设施，它可以根据需要创建证书并使用可信密钥对其进行签名。

证书用于什么产品/协议是不相关的。您使用什么类型的WCF HTTP绑定并不重要。