客户端计算机上的SSL服务器端证书？

Question

有一个带有WCF客户端的服务器，它定期通过internet与安装在我们客户端计算机上的许多WCF服务进行通信。WCF服务和WCF客户端托管在Windows中，当前绑定是basicHttpBinding。

通信必须通过https进行相互认证。公司订购了SSL证书，但尚不清楚该证书是否可以安装在客户端计算机上(因为WCF服务在那里)，而不公开私钥。绑定可以是具有传输或消息安全性但使用证书的basicHttpBinding或wcHttpBinding。

是否可以在客户端计算机上安装服务端证书，在我们的服务器上安装客户端证书？应该重新工作这个体系结构，以便WCF服务在我们的服务器上，还是可以以某种方式保护当前的解决方案？

Answer 1

听起来您需要在企业中构建一些公钥基础设施(，PKI)。我假设WCF服务器和客户端机器是内部的，这意味着您可以使用您自己的证书颁发机构(CA)使用内部签名的证书。

一旦为企业设置了“根CA”，就可以创建中间CA来处理业务的不同方面，例如WCF通信、用户身份验证或支持它的任何其他方面。中介CA的证书可以由根CA签名，然后您的中介签署和颁发的任何证书(例如用于客户端工作站的证书)将在您的网络中有效。