受信任的客户端/服务器通过 Internet 通信时的 WCF 安全性

Question

我有一些通过 Internet 运行 ASP.NET 应用程序的专用服务器。所有服务器都是完全受信任的（都属于同一家公司），并且需要以安全的方式相互通信。他们不是域或工作组的一部分，也不应该是。

每个服务器都充当某些WCF 服务的客户端和服务器。这些服务很少（每台服务器 1-2 个）而且很轻（每次调用都会传输少量数据）。

我可以使用自签名的SSL 证书或X509。我正在寻找某种方法来确保互联网上的任何人都不能调用服务器上的WCF 服务。将来会添加新的服务器。

我读到了WCF，但现在我很困惑，使用自签名 SSL 证书是否是个好主意（非自签名目前不是一个选项），使用哪种绑定，哪种安全性要使用的模式，要使用哪种身份验证方法... 我需要一些提示才能开始（请提供示例链接。

Answer 1

WCF 安全性是一个大话题，但还有一些其他非 WCF 特定的方法可以保护服务：

• 使用IP SEC 保护通信通道
• 使用 IP 白名单授予/拒绝对 WCF 终结点运行的端口的访问权限
• 使用 VPN 解决方案（如果您的公司已有站点到站点 VPN，则特别方便）

Answer 2

我会使用基于证书的身份验证，其中客户端和服务器都经过身份验证。

为使事情更安全，请勿使用自签名证书。

如果您的公司已经有证书服务器：向您的每台服务器颁发证书，并指定客户端和服务都需要出示由您的证书服务器颁发的证书作为身份验证配置。