WCF分布式安全开发实践(5):传输安全模式之Certificate身份验证:Transport_Certificate_WSHttpBinding

本文涉及的产品
Digicert DV 证书 单域名,20个 3个月
简介:
    今天继续 WCF分布式安全开发实践(5):传输安全模式之Certificate身份验证。本文介绍的内容主要是:主要是传输安全模式的 Certificate身份验证方式,基于WSHttpBinding绑定协议的实现过程。主要内容:基本概念,然后是制作证书、SSL证书设置、服务端配置、客户端配置、总结。
【0】传输安全模式之 Certificate身份验证:
       传输安全模式之 Certificate证书身份验证需要服务器需要一个有效的可用于安全套接字层 (SSL) 的 X.509 证书,并且客户端必须信任此服务器证书。 这里使用https协议。客户端提供有效的 Certificate证书。 服务器通过证书来检验客户端身份的有效性。
1.身份验证(服务器):提供证书,(使用 HTTPS) 
2.身份验证(客户端):提供证书
    WCF安全模式 Certificate证书身份验证的架构如下:
    客户端首先要提供自己的证书,服务器对此进行验证,有效后,服务器会和客户端尝试建立SSL安全套接层,会使用商定的密码对消息签名,客户端使用证书加密数据,服务端使用证书解密数据,保证数据的安全和机密性,消息签名放置被篡改。这个链接是唯一的。通信结束以后会关闭连接。
   是制作和设置SSL证书的过程,和传输安全模式的过程一样,这里直接使用相同证书和端口。延续以前的风格。
【1】制作证书:
(1)使用makecert 工具:Microsoft Visual Studio 2008-->Visual Studio Tools-->Visual Studio 2008 命令提示行。
输入: makecert -sr localmachine -ss My -n CN=WCFServerPK -sky exchange -pe -r
输入:makecert -sr localmachine -ss My -n CN=WCFClientPK -sky exchange -pe -r。
-这里制作了连个证书,主要只使用一个WCFServerPK,可以到出密钥文件pfx,后续我们要导入到其他存储区,设置为信任的证书。WCFClientPK -是为以后文章准备的,也是可以设置为信任的证书。

 (2) 打开浏览器---->Internet 选项----->内容----->证书----->个人,默认是保存到当前用户CurrentUser,你会看到刚才制作的证书。这个可以查看部分证书,但是功能有限。我们还是使用控制台证书管理工具。
 (3)使用MMC建立证书控制单元查看证书的信息:
  开始--运行--MMC--控制台--添加删除单元--证书--当前用户和计算机各添加一个。能查看和管理CurrentUser和LocalMachine的证书。如图:
(4)导入证书到信任的人和信任的CA机构里。步骤如下:
    1.导出证书文件,带密钥的pfx文件。使用mmc,保存到桌面位置(方便查找)。这里记住你制作证书的密码。要使用。
    2.导入证书到信任的人。使用任务-导入向导--选择证书文件,导入即可。
    3.导入证书到信任的机构,使用任务-导入向导--选择证书文件,导入即可。这个证书就被信任了。
【2】SSL证书设置:
   下面我们来设置SSL端口证书,这个步骤很重要。不然客户端无法查找到WCF服务。
【2.1】查询SSL证书设置:
     需要为使用的端口SSL注册证书。Windows Server 2003 或 Windows XP,则使用 HttpCfg.exe 工具。Windows Server 2003 中已安装该工具。下载该工具 /Files/frank_xl/HttpcfgFrankXuLei.rar。如果运行的是 Windows Vista,则使用已安装的 Netsh.exe 工具。在Windows\System32目录下。运行此工具需要命令窗口切换到相应工具解压缩目录下,我直接放置到D盘根目录。方便查找。
     (1)在 Windows Server 2003 或 Windows XP 中,通过  query 和  ssl 开关使用 HttpCfg.exe 工具查看当前端口配置,在命令窗口切换到HttpCfg在文件目录,你如下 面代码:
         httpcfg query ssl
  
  (2) Vista:
       netsh http show ss lcert
    查询SSL端口证书设置信息,如图:
【2.2】设置SSL证书:
    (1)在 Windows Server 2003 或 Windows XP:
       httpcfg set ssl -i 0.0.0.0:9001-h 9174185b2860b6d5ec3de133d5fcc4e1419b09e5
    (2)Vista:
       netsh http add sslcert ipport=0.0.0.0:9001 certhash=9174185b2860b6d5ec3de133d5fcc4e1419b09e5
  appid={11111111-2222-3333-4444-qqqqqqqqqqqqq} 。最后一个GUID.你可以随便编写一个。使用工具也可以。certhash 参数指定证书的指纹。ipport 参数指定 IP 地址和端口,功能类似于前述 Httpcfg.exe 工具的 -i 开关。appid 参数为可用于标识所属应用程序的 GUID。
 【2.3】删除SSL证书:
    (1)Windows Server 2003 和 Windows XP 中:
    httpcfg delete ssl -i 0.0.0.0:9001-h 9174185b2860b6d5ec3de133d5fcc4e1419b09e5
    (2)Vista:
    Netsh http delete sslcert ipport=0.0.0.0:9001。
【3】服务端配置:
    SSL端口证书配置完成以后,我们来配置服务端相关的文件,首先要实现自定义身份验证的代码。我们就要对WCF服务端进行配置,直接使用配置文件,这里简单。也可以使用代码来完成。
    (1)服务类定义:
     这里服务类就一个方法就是更具用户的name来打印调用时间,代码如下:
 //1.服务契约
    [ServiceContract(Namespace = "http://www.cnblogs.com/frank_xl/" )]
    
public interface
 IWCFService
    {
        
//操作契约

        [OperationContract]
        
string SayHello(string
 name);

    }
    
//2.服务类,继承接口。实现服务契约定义的操作

    public class  WCFService : IWCFService
    {
        
//实现接口定义的方法

        public string SayHello(string  name)
        {
            Console.WriteLine(
"Hello! {0},Calling at {1} "
, name,DateTime.Now.ToLongTimeString());
            
return "Hello! " +
 name;
        }
    }
    (2)传输安全模式配置:
       使用传输安全模式,采用客户端 Certificate证书身份验证策略,transport安全模式下的 Certificate证书验证方式要在客户端基本 Certificate证书验证类型下实现。配置信息如下:
    <wsHttpBinding>
      <binding name="BindingConfiguration">
        <security mode="Transport">
          <transport clientCredentialType="Certificate"/>
        </security>
      </binding>
    </wsHttpBinding>
   这个配置要应用到服务的终结点配置上。才会生效。
    (4)证书使用:
    在服务行为节点属性里配置使用证书WCFServerPK,这个服务器证书就是SSL证书。配置信息如下:
         serviceBehaviors>
        <behavior name="WCFService.WCFServiceBehavior">
          <serviceMetadata httpsGetEnabled="true" />
          <serviceDebug includeExceptionDetailInFaults="false" />
          <serviceCredentials>
              <serviceCertificate  storeName="My"  x509FindType="FindBySubjectName" findValue="WCFServerPK" storeLocation="LocalMachine"/>
          </serviceCredentials>
        </behavior>
      </serviceBehaviors>
       (5)IE查看元数据:
      配置好托管宿主以后,我们就可以启动宿主。然后在浏览器里输入元数据终结点。点击浏览会看到如下界面:
   使用的是https协议, 元数据交互也提供了SSL保护。这里可以点击继续浏览,才能看到服务的信息。如下:
    我们可以在这里点击链接,根据借助svcutil来产生客户端文件。我们这里不做尝试,客户端我们直接在项目里添加引用,借助Visual Studio来完成。
【4】客户端配置:
    这个过程和之前的传输安全模式下,添加服务的过程一样。直接引用。
    (1)引用元数据:
    因为服务的元数据交换节点启用了Https协议,我们在客户端项目添加元数据地址 https://computer:9001/mex 查找服务信息的时候,会提示SSL证书信息,界面如下:
   这个证明我们的服务端证书设置已经起作用,而且是可信的。现在我们点击Yes。继续就会添加完毕服务引用。过程和普通的添加服务元数据引用一样,会产生客户端相关代码文件。输入NameSpace,等待完成即可。   
    (2)配置文件:
    客户端配置文件使用默认设置,主要是安全模式的设置要如下,与服务端匹配。使用证书验证方式。
<security mode="Transport">
                        <transport clientCredentialType="Certificate" proxyCredentialType="None"
                            realm="" />
                        <message clientCredentialType="Windows" negotiateServiceCredential="true"
                            establishSecurityContext="true" />
                    </security>
    这里我们可以在配置文件里设置证书,WCF客户端会根据配置文件终结点服务行为的证书配置信息来查找客户端证书。
提交给WCF服务端。配置代码如下:
       < behaviors >
        
< endpointBehaviors >
          
< behavior name = " endpointBehavior " >
            
< clientCredentials >
              
< clientCertificate storeName = " My "   
                                 x509FindType
= " FindBySubjectName "  
                                 findValue
= " WCFClientPK "  
                                 storeLocation
= " CurrentUser " />
            
</ clientCredentials >
          
</ behavior >
        
</ endpointBehaviors >
      
</ behaviors >
  (3)测试代码:
    等待代码生成结束,我们这里就直接生成客户端代理类的实例来调用服务进行测试。这里客户端在调用服务以前,必须提供有效的 Certificate证书.使用配置文件设置完毕以后,就可以测试,也可以使用代码来设置证书wcfServiceProxy.ClientCredentials.ClientCertificate.Certificate = new X509Certificate2(" WCFClientPK.pfx", "password"); WCFClientPK.pfx是导出的客户端证书的文件,包含密钥,密码为保护密码。客户端测试代码如下:

                WCFClient.ClientProxy.WCFServiceClient clientProxy 
= new WCFClient.ClientProxy.WCFServiceClient("WSHttpBinding_IWCFService" );
                
//通过代理调用SayHello服务
//wcfServiceProxy.ClientCredentials.ClientCertificate.Certificate = new X509Certificate2("user.pfx", "password");

                string sName = "Frank Xu Lei Transport UserNamePassword WSHttpBinding" ;
                
string sResult = string
.Empty;
                Util.SetCertificatePolicy();
//强制信任证书。重写验证服务端证书的方法。

                sResult =  clientProxy.Hello(sName);
                Console.WriteLine(
"Returned Result is {0}", sResult);
  (4)测试结果:
    启动宿主程序,然后启动客户端程序,稍作等待, Certificate证书无效的时候,服务器验证客户端证书失败,客户端不能调用服务。,当我们提供了有效的 Certificate证书的时候,客户端成功调用服务,宿主打印的消息。如图:
【5】总结
     Windows Communication Foundation (WCF) 服务和客户端。服务器需要一个有效的可用于安全套接字层 (SSL) 的 X.509 证书,并且客户端必须信任此服务器证书。
   (1) 此处自是在借助传输安全 Certificate证书 验证方式,客户端提供证书。
   (2)客户端要信任服务器证书,服务器验证客户端证书来检验客户端身份的有效性。
   (3)给出今天的参考代码,供大家参考:
     /Files/frank_xl/4.1.WCFServiceSecurityDemoFrankXuLei_Transport_Certificate_WSHttpBinding.rar
     大家有问题可以留言讨论~我继续准备这个系列WCF Message安全模式的文章。
     谢谢。
参考文章:
1.WCF分布式安全开发实践(2):传输安全模式之基本身份验证(Windows账户密码):Transport_Basic_WSHttpBinding 
2. WCF分布式开发常见错误(21):unable to open its IChannelListener.分发器未能打开侦听器  
3. http://social.microsoft.com/Forums/zh-CN/wcfzhchs/thread/e1aa7bea-90d8-41e6-b91b-7addba44f8e3
4. WSE3.0构建Web服务安全(2):非对称加密、公钥、密钥、证书、签名的区别和联系以及X.509 证书的获得和管理 ,具体5. http://msdn.microsoft.com/library/chs/default.asp?url=/library/CHS/cptools/html/cpgrfcertificatecreationtoolmakecertexe.asp
6.Httpcfg 语法: http://technet.microsoft.com/zh-cn/library/cc781601(WS.10).aspx
7.安全套接字层(SSL)-安全套接字层(SSL)简介: http://www.hudong.com/wiki/%E5%AE%89%E5%85%A8%E5%A5%97%E6%8E%A5%E5%AD%97%E5%B1%82%28SSL%29#1
8. WCF分布式安全开发实践(1):传输安全模式之匿名客户端:Transport_None_WSHttpBinding  

9.http://msdn.microsoft.com/en-us/library/ms731074.aspx





 本文转自 frankxulei 51CTO博客,原文链接:http://blog.51cto.com/frankxulei/320358,如需转载请自行联系原作者




相关文章
|
2月前
|
运维 Kubernetes 调度
阿里云容器服务 ACK One 分布式云容器企业落地实践
3年前的云栖大会,我们发布分布式云容器平台ACK One,随着3年的发展,很高兴看到ACK One在混合云,分布式云领域帮助到越来越多的客户,今天给大家汇报下ACK One 3年来的发展演进,以及如何帮助客户解决分布式领域多云多集群管理的挑战。
阿里云容器服务 ACK One 分布式云容器企业落地实践
|
1月前
|
NoSQL Java Redis
开发实战:使用Redisson实现分布式延时消息,订单30分钟关闭的另外一种实现!
本文详细介绍了 Redisson 延迟队列(DelayedQueue)的实现原理,包括基本使用、内部数据结构、基本流程、发送和获取延时消息以及初始化延时队列等内容。文章通过代码示例和流程图,逐步解析了延迟消息的发送、接收及处理机制,帮助读者深入了解 Redisson 延迟队列的工作原理。
|
3月前
|
存储 分布式计算 Hadoop
【揭秘Hadoop背后的秘密!】HDFS读写流程大曝光:从理论到实践,带你深入了解Hadoop分布式文件系统!
【8月更文挑战第24天】Hadoop分布式文件系统(HDFS)是Hadoop生态系统的关键组件,专为大规模数据集提供高效率存储及访问。本文深入解析HDFS数据读写流程并附带示例代码。HDFS采用NameNode和DataNode架构,前者负责元数据管理,后者承担数据块存储任务。文章通过Java示例演示了如何利用Hadoop API实现数据的写入与读取,有助于理解HDFS的工作原理及其在大数据处理中的应用价值。
92 1
|
3月前
|
机器学习/深度学习 人工智能 负载均衡
【AI大模型】分布式训练:深入探索与实践优化
在人工智能的浩瀚宇宙中,AI大模型以其惊人的性能和广泛的应用前景,正引领着技术创新的浪潮。然而,随着模型参数的指数级增长,传统的单机训练方式已难以满足需求。分布式训练作为应对这一挑战的关键技术,正逐渐成为AI研发中的标配。
199 5
|
3月前
|
开发者 云计算 数据库
从桌面跃升至云端的华丽转身:深入解析如何运用WinForms与Azure的强大组合,解锁传统应用向现代化分布式系统演变的秘密,实现性能与安全性的双重飞跃——你不可不知的开发新模式
【8月更文挑战第31天】在数字化转型浪潮中,传统桌面应用面临新挑战。本文探讨如何融合Windows Forms(WinForms)与Microsoft Azure,助力应用向云端转型。通过Azure的虚拟机、容器及无服务器计算,可轻松解决性能瓶颈,满足全球用户需求。文中还提供了连接Azure数据库的示例代码,并介绍了集成Azure Storage和Functions的方法。尽管存在安全性、网络延迟及成本等问题,但合理设计架构可有效应对,帮助开发者构建高效可靠的现代应用。
32 0
|
3月前
|
UED 存储 数据管理
深度解析 Uno Platform 离线状态处理技巧:从网络检测到本地存储同步,全方位提升跨平台应用在无网环境下的用户体验与数据管理策略
【8月更文挑战第31天】处理离线状态下的用户体验是现代应用开发的关键。本文通过在线笔记应用案例,介绍如何使用 Uno Platform 优雅地应对离线状态。首先,利用 `NetworkInformation` 类检测网络状态;其次,使用 SQLite 实现离线存储;然后,在网络恢复时同步数据;最后,通过 UI 反馈提升用户体验。
88 0
|
3月前
|
机器学习/深度学习 TensorFlow 数据处理
分布式训练在TensorFlow中的全面应用指南:掌握多机多卡配置与实践技巧,让大规模数据集训练变得轻而易举,大幅提升模型训练效率与性能
【8月更文挑战第31天】本文详细介绍了如何在Tensorflow中实现多机多卡的分布式训练,涵盖环境配置、模型定义、数据处理及训练执行等关键环节。通过具体示例代码,展示了使用`MultiWorkerMirroredStrategy`进行分布式训练的过程,帮助读者更好地应对大规模数据集与复杂模型带来的挑战,提升训练效率。
80 0
|
3月前
|
消息中间件 存储 Kafka
微服务实践之分布式定时任务
微服务实践之分布式定时任务
|
前端开发
WCF更新服务引用报错的原因之一
WCF更新服务引用报错的原因之一
|
C# 数据安全/隐私保护
c#如何创建WCF服务到发布(SqlServer版已经验证)
c#如何创建WCF服务到发布(SqlServer版已经验证)
73 0

热门文章

最新文章