【发布时间】:2012-02-16 10:42:36
【问题描述】:
我有一些简单的问题,我无法在任何网站上得到直接的答案,因为这个主题有多种选择。
- 在消息级别安全中,客户端是否强制安装证书?我假设这是因为服务器应该使用客户端公钥加密响应消息,然后客户端使用他自己的私钥对其进行解密。
- 除了在客户端中没有证书并以两种方式(客户端->服务器)和(服务器->客户端)加密消息之外,还有其他选择吗?
【问题讨论】:
标签: wcf security message ws-security
【发布时间】:2012-02-16 10:42:36
【问题描述】:
您可以在完全没有客户端身份验证的情况下获得消息安全性。如果客户端通过证书进行身份验证,您只需要客户端证书
在第一种情况下,服务器证书用于保护消息。客户端使用服务器的公钥加密,然后服务器可以使用其私钥解密
如果您使用的是安全对话,那么服务器证书仅用于引导会话密钥,然后用于加密/解密
只要服务器证书在客户端有完整的信任链,那么也不需要在客户端上安装服务器证书
【讨论】:
-
感谢您的回答。但是客户端如何解密来自服务器的消息呢?客户端不需要持有私钥的证书吗?或者你说的是使用安全对话,使用会话密钥对消息进行加密/解密?
-
如果我不使用安全转换,我需要让客户端证书加密?
-
不 - 查看消息,看起来客户端生成了一个密钥并使用服务器公钥对其进行加密,然后服务使用此密钥加密响应
-
最后一个问题 :) 仅当您将协商服务凭证设置为 true 时才会发生这种情况?
-
否 - 如果您将其设置为 false,则会发生这种情况 - 如果您将其设置为 true,您会看到用于安全对话的 RST/RSTR 消息