客户端计算机上的 SSL 服务器端证书？

Question

有一个带有 WCF 客户端的服务器，它定期通过 Internet 启动与我们客户端计算机上安装的许多 WCF 服务的通信。 WCF 服务和 WCF 客户端托管在 Windows 服务中，当前绑定是 basicHttpBinding。

通信必须通过 https 和相互身份验证。公司订购了 SSL 证书，但不清楚此证书是否可以安装在客户端计算机上（因为存在 WCF 服务）而不暴露私钥。绑定可以是具有传输或消息安全性但使用证书的 basicHttpBinding 或 wcHttpBinding。

是否可以在客户端计算机上安装服务端证书，在我们的服务器上安装客户端证书？是否应该重新设计此架构，以便 WCF 服务在我们的服务器上，或者有可能以某种方式保护当前的解决方案？

Answer 1

每台涉及的计算机都需要自己的证书。用于身份验证的证书值依赖于私钥的唯一性。私钥永远不会离开主机，并且证书可用于验证所述机器（因为它是世界上唯一拥有该私钥的机器）。一旦您开始分发私钥的副本，安全性就会受到很大影响。

通常此类部署依赖于 PKI 基础架构，该基础架构可以按需创建证书并使用可信密钥对其进行签名。

证书用于什么产品/协议无关紧要。您使用哪种 WCF HTTP 绑定并不重要。