当受信任的客户端/服务器群通过 Internet 进行通信时，WCF 安全

Question

我有一些通过互联网运行 ASP.NET 应用程序的专用服务器。所有服务器都是完全可信的（都属于同一家公司）并且需要以安全的方式相互通信。它们不是域或工作组的一部分，也不应该是。

每个服务器都充当某些 WCF 服务的客户端和服务器。这些服务很少（每台服务器 1-2 个）且很轻（每次调用时传输少量数据）。

我可以使用自签名 SSL 证书或 X509。我正在寻找某种方法来确保互联网上的任何人都无法调用服务器上的 WCF 服务。未来将添加新服务器。

我读到了有关 WCF 的内容，但现在我很困惑，是否使用自签名 SSL 证书是个好主意（目前非自签名不是一个选项），要使用哪个绑定，使用哪种安全模式、使用哪种身份验证方法... 我需要一些提示才能开始（请提供示例链接。

Answer 1

我将使用基于证书的身份验证，其中客户端和服务器都经过身份验证。

为了使事情更安全，不要使用自签名证书。

如果您的公司已经有证书服务器：向每个服务器颁发证书，并指定客户端和服务都需要提供由您的证书服务器颁发的证书作为身份验证配置。

Answer 2

WCF 安全性是一个大话题，但还有一些其他非 WCF 特定方法可以保护服务：

• 使用 IP SEC 确保通信通道安全
• 使用 IP 白名单授予/拒绝对 WCF 端点运行的端口的访问
• 使用 VPN 解决方案（如果您的公司已经拥有站点到站点 VPN，则特别方便）