具有消息安全性的 WCF 路由

Question

我有一个带有消息安全身份验证的 WCF 服务。

我想为负载平衡设置路由服务。

由于某种原因它不起作用，我启用了 includeExceptionDetailInFaults 来查看异常，所以在客户端我看到：

未提供客户端证书。指定客户端证书 在 ClientCredentials 中。

证书似乎不是从路由器->服务转发的。

目前客户端/路由器/服务在同一台机器上，所以我拥有所有证书，但如果我将它们部署在不同的机器上，路由器是否必须拥有私钥？

另外，如果我想在路由器和服务之间建立非安全连接（卸载安全性），我该如何提供调用者的身份？

编辑： 对于所有客户端/路由器（服务器和客户端）/服务器，安全配置相同：

            <security mode="Message">
                <message clientCredentialType="Certificate" negotiateServiceCredential="false"
                    algorithmSuite="Default" establishSecurityContext="false" />
            </security>

Answer 1

有很多文章说微软不支持这种情况，这是真的。

This article explains how to write your own custom solution to provide security to all client/router/service.

Answer 2

未提供客户端证书。在 ClientCredentials 中指定客户端证书。

当服务证书与主机域名不匹配时，我看到此错误。

如果您仍然看到此问题，您可以发布一些配置条目吗？

Answer 3

1) 首先尝试通过代码在客户端设置证书。

ChannelFactory<IService1> factory = 
             new ChannelFactory<IService1>("Service1_Endpoint");
factory.Credentials.ServiceCertificate.SetDefaultCertificate(
             System.Security.Cryptography.X509Certificates.StoreLocation.CurrentUser,
             System.Security.Cryptography.X509Certificates.StoreName.My,
             System.Security.Cryptography.X509Certificates.X509FindType.FindBySubjectName,
             "<SeriveCerificateName>");

如果您确实遇到证书问题，您会在应用程序启动时立即获得异常。

2) 如果没有异常，则检查双方服务证书的指纹。

Answer 4

这篇博文解释说微软不支持这种情况-

http://blogs.microsoft.co.il/blogs/applisec/archive/2011/12/12/wcf-routing-and-message-security.aspx