WCF分布式安全开发实践(6):传输安全模式之自定义X509Certificate证书验证
此验证方式和WCF分布式安全开发实践(2):传输安全模式之基本身份验证(Windows账户密码):Transport_Basic_WSHttpBinding 还有WCF分布式安全开发实践(5):传输安全模式之Certificate身份验证:Transport_Certificate_WSHttpBinding .都有类似的地方。首先我们来介绍一下什么是传输安全模式的自定义X509Certificate证书。
【0】传输安全模式之自定义X509Certificate证书身份验证:
传输安全模式之基本身份验证需要服务器需要一个有效的可用于安全套接字层 (SSL) 的 X.509 证书,并且客户端必须信任此服务器证书。 这里使用https协议。客户端提供有效的自定义X509Certificate证书。
2.身份验证(客户端):提供自定义X509Certificate证书
当使用 HTTPS 在客户端和服务间通信时,客户端用于向服务进行身份验证的证书必须支持链信任。也就是说,它必须链至受信任的根证书颁发机构。否则,HTTP 层将引发 WebException,并显示消息“远程服务器返回错误: (403) 禁止。”WCF 将此异常包装为 MessageSecurityException。
当使用 HTTPS 在客户端和服务间通信时,服务器身份验证使用的证书默认情况下必须支持链信任。也就是说,它必须链至受信任的根证书颁发机构。不会执行任何在线检查来查看证书是否已吊销。可以通过注册 RemoteCertificateValidationCallback 回调来重写此行为,如以下代码所示。
object sender,
X509Certificate certificate,
X509Chain chain,
SslPolicyErrors sslPolicyErrors)。
是制作和设置SSL证书的过程,和传输安全模式的过程一样,这里直接使用相同证书和端口。延续以前的风格。
【1】制作证书:
(1)使用makecert 工具:Microsoft Visual Studio 2008-->Visual Studio Tools-->Visual Studio 2008 命令提示行。
输入:makecert -sr localmachine -ss My -n CN=WCFServerPK -sky exchange -pe -r<?XML:NAMESPACE PREFIX = O />
输入:makecert -sr localmachine -ss My -n CN=WCFClientPK -sky exchange -pe -r。
-这里制作了连个证书,主要只使用一个WCFServerPK,可以到出密钥文件pfx,后续我们要导入到其他存储区,设置为信任的证书。WCFClientPK -是为以后文章准备的,也是可以设置为信任的证书。
(2) 打开浏览器---->Internet 选项----->内容----->证书----->个人,默认是保存到当前用户CurrentUser,你会看到刚才制作的证书。这个可以查看部分证书,但是功能有限。我们还是使用控制台证书管理工具。
开始--运行--MMC--控制台--添加删除单元--证书--当前用户和计算机各添加一个。能查看和管理CurrentUser和LocalMachine的证书。如图:
1.导出证书文件,带密钥的pfx文件。使用mmc,保存到桌面位置(方便查找)。这里记住你制作证书的密码。要使用。
2.导入证书到信任的人。使用任务-导入向导--选择证书文件,导入即可。
3.导入证书到信任的机构,使用任务-导入向导--选择证书文件,导入即可。这个证书就被信任了。
【2】SSL证书设置:
下面我们来设置SSL端口证书,这个步骤很重要。不然客户端无法查找到WCF服务。
【2.1】查询SSL证书设置:
需要为使用的端口SSL注册证书。Windows Server 2003 或 Windows XP,则使用 HttpCfg.exe 工具。Windows Server 2003 中已安装该工具。下载该工具/Files/frank_xl/HttpcfgFrankXuLei.rar。如果运行的是 Windows Vista,则使用已安装的 Netsh.exe 工具。在Windows\System32目录下。运行此工具需要命令窗口切换到相应工具解压缩目录下,我直接放置到D盘根目录。方便查找。
(1)在 Windows Server 2003 或 Windows XP 中,通过 query 和 ssl 开关使用 HttpCfg.exe 工具查看当前端口配置,在命令窗口切换到HttpCfg在文件目录,你如下面代码:
httpcfg query ssl
(2)Vista:
netsh http show sslcert
(1)在 Windows Server 2003 或 Windows XP:
httpcfg set ssl -i 0.0.0.0:9001-h 9174185b2860b6d5ec3de133d5fcc4e1419b09e5
(2)Vista:
netsh http add sslcert ipport=0.0.0.0:9001 certhash=9174185b2860b6d5ec3de133d5fcc4e1419b09e5
appid={11111111-2222-3333-4444-qqqqqqqqqqqqq} 。最后一个GUID.你可以随便编写一个。使用工具也可以。certhash 参数指定证书的指纹。ipport 参数指定 IP 地址和端口,功能类似于前述 Httpcfg.exe 工具的 -i 开关。appid 参数为可用于标识所属应用程序的 GUID。
【2.3】删除SSL证书:
(1)Windows Server 2003 和 Windows XP 中:
httpcfg delete ssl -i 0.0.0.0:9001-h 9174185b2860b6d5ec3de133d5fcc4e1419b09e5
(2)Vista:
Netsh http delete sslcert ipport=0.0.0.0:9001。
【3】服务端配置:
SSL端口证书配置完成以后,我们来配置服务端相关的文件,首先要实现自定义身份验证的代码。我们就要对WCF服务端进行配置,直接使用配置文件,这里简单。也可以使用代码来完成。
(1)服务验证代码:
证书制作完整以后,就需要来实现自定义用户名和密码的验证程序。这里要重写X509CertificateValidator类的 Validate(X509Certificate2 certificate)方法。具体代码如下:
public class CustomX509CertificateValidator : X509CertificateValidator
{
public override void Validate(X509Certificate2 certificate)
{
Console.WriteLine("Certificate Subject is :{0}", certificate.Subject);
Console.WriteLine("Certificate Thumbprint is :{0}", certificate.Thumbprint);
//This is the Client Certificate Thumbprint,In Production,We can validate the Certificate With CA
if (certificate.Thumbprint != "862cefb4925a0c248b0ef461a848bc256a488d31")
{
Console.WriteLine("CertificateValidatation is failed !{0}", certificate.Subject);
throw new SecurityTokenException("Unknown Certificate");
}
else
{
Console.WriteLine("CertificateValidatation is sucessfully !:{0}", certificate.Subject);
}
}
}
(2)服务类定义:
这里服务类就一个方法就是更具用户的name来打印调用时间,代码如下:
[ServiceContract(Namespace = "http://www.cnblogs.com/frank_xl/")]
public interface IWCFService
{
//操作契约
[OperationContract]
string SayHello(string name);
}
//2.服务类,继承接口。实现服务契约定义的操作
public class WCFService : IWCFService
{
//实现接口定义的方法
public string SayHello(string name)
{
Console.WriteLine("Hello! {0},Calling at {1} ", name,DateTime.Now.ToLongTimeString());
return "Hello! " + name;
}
}
使用传输安全模式,采用客户端Certificate身份验证策略,transport安全模式下的用户自定义证书方式要在客户端基本Certificate验证类型下实现。配置信息如下:
<binding name="TransportAndCertificate" >
<security mode="Transport">
<transport clientCredentialType ="Certificate"/>
<message clientCredentialType="None"/>
</security>
</binding>
</wsHttpBinding>
(4)证书使用:
在服务行为节点属性里配置使用证书WCFServerPK,这个服务器证书就是SSL证书。另外要设置客户端验证方式为自定义。 certificateValidationMode="Custom" 。和自定义用户名密码的设置有些差别,但是同样要提供自己的自定义验证类的设置。配置信息如下:
<behavior name="WCFService.WCFServiceBehavior">
<serviceMetadata httpsGetEnabled="true" />
<serviceDebug includeExceptionDetailInFaults="false" />
<serviceCredentials>
<serviceCertificate storeName="My" x509FindType="FindBySubjectName" findValue="WCFServerPK" storeLocation="LocalMachine"/>
<clientCertificate >
<authentication certificateValidationMode="Custom" customCertificateValidatorType="WCFService.CustomX509CertificateValidator,WCFService"/>
</clientCertificate>
</serviceCredentials>
</behavior>
</serviceBehaviors>
配置好托管宿主以后,我们就可以启动宿主。然后在浏览器里输入元数据终结点。点击浏览会看到如下界面:
【4】客户端配置:
这个过程和之前的传输安全模式下,添加服务的过程一样。直接引用。
(1)引用元数据:
因为服务的元数据交换节点启用了Https协议,我们在客户端项目添加元数据地址https://computer:9001/mex查找服务信息的时候,会提示SSL证书信息,界面如下:
(2)配置文件:
客户端配置文件使用默认设置,主要是安全模式的设置要如下,与服务端匹配。使用Certificate方式。这样我们才能提供自定义Certificate证书。
<transport clientCredentialType="Certificate" proxyCredentialType="None"
realm="" />
<message clientCredentialType="Windows" negotiateServiceCredential="true"
establishSecurityContext="true" />
</security>
等待代码生成结束,我们这里就直接生成客户端代理类的实例来调用服务进行测试。这里客户端在调用服务以前,必须提供有效的Certificate证书.使用配置文件设置完毕以后,就可以测试,也可以使用代码来设置证书wcfServiceProxy.ClientCredentials.ClientCertificate.Certificate = new X509Certificate2("WCFClientPK.pfx", "password");WCFClientPK.pfx是导出的客户端证书的文件,包含密钥,密码为保护密码。客户端测试代码如下:
{
static void Main(string[] args)
{
try
{
//Client Proxy
WCFClient.ClientProxy.WCFServiceClient clientProxy = new WCFClient.ClientProxy.WCFServiceClient("WSHttpBinding_IWCFService");
//通过代理调用SayHello服务
string sName = "Frank Xu Lei Transport Custom Certificate WSHttpBinding";
string sResult = string.Empty;
Util.SetCertificatePolicy();//强制信任证书。重写验证服务端证书的方法。
sResult = clientProxy.Hello(sName);
Console.WriteLine("Returned Result is {0}", sResult);
}
catch (Exception e)
{
Console.WriteLine("Exception : {0}", e.Message);
}
//For Debug
Console.WriteLine("Press any key to exit");
Console.Read();
}
启动宿主程序,然后启动客户端程序,稍作等待,Certificate证书无效的时候,服务器验证客户端证书失败,客户端不能调用服务。,当我们提供了有效的Certificate证书的时候,客户端成功调用服务,宿主打印的消息。如图:
Windows Communication Foundation (WCF) 服务和客户端。服务器需要一个有效的可用于安全套接字层 (SSL) 的 X.509 证书,并且客户端必须信任此服务器证书。WCF安全机制都是依赖现有的安全体系和框架来完成的。
(1)此处实现原理和自定义用户名密码验证方式类似,我们要提供了自定义X509CertificateValidator的验证代码。
(2)客户端提交证书的方式与传输安全之证书验证方式一样,客户端可以使用配置文件或者代码的方式来实现。
(3)与传输安全证书验证方式不同的是,我们可以自己来定义客户端证书的验证逻辑实现。这样在使用客户端证书的时候,验证方式可以简单化,易于控制。不需要购买商业证书或者访问CA等方式,节约开发成本。
(4)给出今天的参考代码,供大家参考:
/Files/frank_xl/2.5.WCFServiceSecurityDemoFrankXuLei_Transport_X.509Certificate_WSHttpBinding.rar
以上基本是传输安全主要客户端验证方式。除了NTLM和Digest方式没给出实现外,常用的方式都给出了详细的介绍和实现的参考代码。无论个人学习还是实际项目的WCF安全开发都可以作为参考。Transportat安全模式目前是6篇文章,希望对大家的学习有帮助。
我继续写WCF Message安全模式的相关文章~
参考文章:
0.WCF分布式安全开发实践(3):传输安全模式之自定义用户名密码身份验证:Transport_UserNamePassword_WSHttpBinding
1.WCF分布式安全开发实践(2):传输安全模式之基本身份验证(Windows账户密码):Transport_Basic_WSHttpBinding
2.WCF分布式开发常见错误(21):unable to open its IChannelListener.分发器未能打开侦听器
3.http://social.microsoft.com/Forums/zh-CN/wcfzhchs/thread/e1aa7bea-90d8-41e6-b91b-7addba44f8e3
4.WSE3.0构建Web服务安全(2):非对称加密、公钥、密钥、证书、签名的区别和联系以及X.509 证书的获得和管理,具体5.http://msdn.microsoft.com/library/chs/default.asp?url=/library/CHS/cptools/html/cpgrfcertificatecreationtoolmakecertexe.asp
6.Httpcfg 语法:http://technet.microsoft.com/zh-cn/library/cc781601(WS.10).aspx
7.安全套接字层(SSL)-安全套接字层(SSL)简介:http://www.hudong.com/wiki/%E5%AE%89%E5%85%A8%E5%A5%97%E6%8E%A5%E5%AD%97%E5%B1%82%28SSL%29#1
8.WCF分布式安全开发实践(1):传输安全模式之匿名客户端:Transport_None_WSHttpBinding
9.http://msdn.microsoft.com/en-us/library/ms733775.aspx
WCF分布式安全开发实践(6):传输安全模式之自定义X509Certificate证书验证相关推荐
- WCF分布式安全开发实践(1):传输安全模式之匿名客户端:Transport_None_WSHttpBinding
WCF分布式安全开发实践(1):传输安全模式之匿名客户端:Transport_None_WSHttpBinding 主要是传输安全模式的None身份验证方式,基于WSHttpBinding绑 ...
- WCF分布式安全开发实践(9):消息安全模式之Windows身份验证:Message_Windows_NetTcpBinding...
今天继续WCF分布式安全开发实践(9):消息安全模式之Windows身份验证:Message_Windows_NetTcpBinding.本文介绍的内容主要是:主要是消息安全模式的Windows身份验 ...
- Android组件化开发实践(九):自定义Gradle插件
本文紧接着前一章Android组件化开发实践(八):组件生命周期如何实现自动注册管理,主要讲解怎么通过自定义插件来实现组件生命周期的自动注册管理. 1. 采用groovy创建插件 新建一个Java L ...
- WCF分布式开发常见错误(26):Authentication failed
这个也是WCF分布式安全开发实践过程里常见的错误. 验证失败,因为远端已经关闭传输流. WCF 传输安全模式下,客户端和服务器端使用证书进行验证.WSHttpBinding.启动服务宿主程序 ...
- WCF与AJAX编程开发实践(1):AJAX基础概念和纯AJAX示例
[0]开篇序言: 在<WCF分布式安全开发实践>系列文章之后,很想重新开启一个系列文章,来完善WCF的学习知识.思考很久,决定写一下WCF和AJAX学习的文章,取名为<WCF ...
- WCF分布式开发步步为赢(0):WCF学习经验分享,如何更好地学习WCF?
WCF分布式开发学习,应该从哪里开始? 微软WCF Web服务 Web API学习群 339444457 微软ASP.NET MVC 4 Web编程群 44206115 学习WCF是不是就不需 ...
- [zz]WCF分布式开发步步为赢(0):WCF学习经验分享,如何更好地学习WCF?
WCF分布式开发学习,应该从哪里开始? 学习WCF是不是就不需要学习Enterprise Sevices(COM+).Net Remoting.Web Service(ASMX).WSE3.0和 ...
- WCF分布式开发步步为赢(1):WCF分布式框架基础概念
众所周知,系统间的低耦合一直是大型企业应用系统集成追寻的目标,SOA面向服务架构的出现为我们的如何利用现有企业系统资源进行企业ERP系统设计和实现提供了重要的参考原则.SOA如此炙手可热,各大厂商都 ...
- WCF分布式开发步步为赢(14):WCF安全编程--基本概念
WCF安全机制是个非常复杂的问题,因为涉及的知识点较多,所以今天这个文章,会分析进行WCF安全开发应该了解的哪些知识点.如何查看资料.为了更好地理解WCF安全相关知识,我把WCF安全机制主要知识点整理 ...
最新文章
- websocket心跳链接代码_WebSocket原理与实践(五)--心跳及重连机制
- 搭建lamp环境QA
- 206块积木,72套进阶玩法!玩转STEAM教育,帮你省掉上万块的乐高课
- int型 判断奇偶_905. 按奇偶排序数组
- 看到go语言简介想到的
- SpringBoot+Vue 完整的外卖系统,手机端和后台管理
- POJ 2798 2进制转换为16进制
- 视频监控、直播——基于opencv,libx264,live555的RTSP流媒体服务器 (zc301P摄像头)By Chain_Gank...
- Linux时间子系统之四:定时器的引擎:clock_event_device
- python 对象转dict_python model对象转为dict数据
- [Hive]-DataBase
- 简单的自动化测试脚本
- 短视频系统行业分析,短视频源码功能剖析
- excel选择符合条件的行
- 编程:中国有句俗话“三天打鱼两天晒网”,某人从1990年1月1日起三天打鱼两天晒网,编程计算他在某一天是打鱼还是晒网
- 虚拟服务器欠费是什么原因,辟谣:Elysium解释近期服务器崩溃的原因 非服务器欠费 而是闪电...
- 互联网众筹系统开发-一站式搭建众筹项目建设
- 广东智汇盟获颁广州市番禺区慈善会捐赠证书
- 5分钟搞懂什么是深度学习
- 绩效评估、绩效审计与绩效优化
热门文章
- 最全Spring Boot2.x系列Config配置集成篇-1参数配置
- 你必须掌握的Java类库工具包Hutool,真甜!(高级篇)
- vs.php中使用apache或IIS7进行外部调试
- IE6,7下实现white-space:pre-wrap;
- 同一表单内设置两个或两个以上的提交按钮 Two submit buttons in one form
- [JavaScript] 判断网页能不能被IFrame 嵌入
- 怎么样用 Google Analytics 区分 Google Shopping 页的流量
- Mac上MacVim安装与配置
- python——time模块实现指定时间触发器
- Tensorflow学习—— 预创建的 Estimator