WCF 服务 - 具有用户名身份验证的证书和消息安全性

Question

我正准备创建一个 WCF 服务，我们的客户可以使用它来更新我们系统中的数据。所以它必须在互联网上可用。我有一本关于 WCF 的书，从中我知道 Message Security 是在 Internet 上提供 WCF 服务时要走的路。那是因为您不应该使用传输安全性，因为它只应该在可以保证服务和客户端之间存在点对点连接的环境中使用。我做对了吗？ 所以我想将 Message Security 与自定义 UserName 身份验证结合使用。我知道我必须获得证书才能做到这一点。我们公司已经拥有用于我们网站的 SSL 证书。

• 我可以为 WCF 服务的消息安全使用相同的证书吗？

和

• Message Security 方式能否与需要 ASMX Web 服务的客户端互操作？

出于测试目的，我使用 Makecert 创建了自己的证书。它工作正常，但我总是必须将证书添加到客户端计算机上的 Trusted Persons。

• 是否可以使用上述证书启用Message Security，而无需强制客户端手动将证书添加到Trusted Persons？

现在，让我们假设以下场景：

在 ISA 服务器/防火墙后面有两个 Web 服务器。此 ISA 服务器持有 www.company.com 地址的证书。所以所有的 SSL 东西都由它处理。它还将传入的请求相应地转发到网络服务器。新创建的 WCF 服务应该在第二个网络服务器上运行。

• 是否必须将证书复制到网络服务器才能使用Message Security？

如果是，我听说复制证书不是好的做法，因为它会降低安全级别。将证书移动到网络服务器不是一种选择，因为 Web-Server1 上的网站也需要它。

• 在这种情况下我有哪些选择？

还有：

• 无论给定要求如何，这种情况下的最佳做法是什么？

谢谢...

Answer 1

精心准备的问题。首先我可能读了同一本书，我想澄清一下这个说法：

那是因为你不应该使用 运输安全，因为它应该 仅用于您所在的环境 可以保证有一个 之间的点对点连接 服务和客户。

是的。 HTTPS（传输安全）仅提供点对点安全，但 IMO 人员并不正确理解这种情况。您是否认为如果您通过 HTTPs 连接到您的网上银行，它会在互联网交换通信从 HTTPS 到 HTTP 的中间某个地方随机出现？不！点对点连接意味着客户端和提供请求 URL 的访问网关之间的安全传输通道。在您的方案中，这意味着客户端和您的 ISA 服务器之间的安全传输通道。您的 ISA 和 Web 服务器 2 之间的通信不会受到保护。如果您想要端到端的，它将在客户端和 Web 服务器 2 之间提供安全通道（ISA 将无法拦截消息），您需要消息安全性。

现在回答您的其他问题：

我可以使用相同的证书 WCF 服务的消息安全性？

是的，您可以，但您必须将私钥复制到您的 Web 服务器 2。

是消息安全方式 可与期望的客户互操作 ASMX Web 服务？

没有。纯 ASMX 客户端无法使用消息安全性，除非您编写大量自定义 SOAP 标头和扩展或安装 WSE 3.0。

是否可以启用消息 具有上述安全性 证书而不强制客户端 将证书添加到受信任的 人手？

是的，但发布证书的证书颁发机构必须在客户端计算机上受信任。 HTTPS 也一样。使用消息安全保护的服务还可以在 WSDL 中公开证书的指纹。客户端可以使用此指纹验证服务身份。我认为在这种情况下，您也不需要在客户端上安装证书，但是当证书过期时，所有客户端都必须更新。

我是否必须将证书复制到 网络服务器能够使用 消息安全？

是的，你必须。但这可能是个问题，因为出于安全原因，证书可能被标记为不可导出。最佳解决方案是为此目的申请新证书。