仅具有服务证书的 WCF 消息安全

Question

我是 WCF 新手，想知道是否可以执行消息安全性，我仅将 x.509 证书用于服务，并且为了客户端安全而使用 Windows 凭据，这是否可以接受，是否有效？尝试在网上搜索，但要么没有关于这种方法的讨论，要么我在谷歌搜索中输入了错误的措辞，非常感谢任何帮助，谢谢大家。

基本上，我的绑定中有这个：

<wsHttpBinding>
    <binding name="msgBinding">
        <security mode="Message">
            <message clientCredentialType="Windows" />
        </security>
    </binding>
</wsHttpBinding>

以及我的行为：

<behavior name="wsHttpCertificateBehavior">
    ...
    <serviceCredentials>
        <serviceCertificate findValue="MyCert" x509FindType="FindBySubjectName" storeLocation="CurrentUser" storeName="My" />
    </serviceCredentials>
</behavior>

Answer 1

你为什么要尝试这样做？您的安全要求是什么？

您是否尝试使用服务证书来保护消息传输，然后使用客户端的 Windows 安全性进行身份验证和授权？

仅当您位于同一域或设置了某种联合安全性时，Windows 安全性才起作用。如果您位于同一域，则只需对两者使用 Windows 安全性。如果您不在同一域中，则无法对客户端使用 Windows 凭据，因为服务器将无法验证它们。您必须使用由服务端的证书颁发机构颁发的客户端证书或使用自定义凭据。

但是，如果您位于同一域但仍然需要服务端证书，那么您必须在服务的配置文件中指定 serviceCertificate 并使用 HTTPS 定义端点地址，也就是说，如果您作为独立服务托管。如果您在 IIS 中托管，则可以在 IIS 网站的设置中定义证书。

您可能会发现此应用程序部署方案很有用

Answer 2

嘿，谢谢你对莫古努斯的帮助。我的问题非常复杂，但简而言之，我的要求是在服务器端使用证书，在做了更多研究之后，我想我现在已经弄清楚了。因此，如果我理解正确，当在具有消息安全性的客户端/服务器上使用证书时，客户端将使用其私钥对消息进行签名，然后附加其发布密钥，并使用服务器的发布密钥进行加密，只有服务器能够解密并获取签名消息以及客户端的公钥以验证签名数据。

就我而言，我让它工作了，我只需要验证服务是否使用正确的东西来签名/加密，但这似乎不可能，因为当消息打包时，它已经被加密并且我看不到内容。

我在搜索这个答案时意识到的另一个问题是，并非所有客户端都位于同一域中，因此必须在客户端使用用户/密码或证书。