WCF分布式安全开发实践(6):传输安全模式之自定义X509Certificate证书验证

简介:
    今天继续WCF分布式安全开发实践(6):传输安全模式之自定义X509Certificate证书验证。本文介绍的内容主要是:主要是传输安全模式的UserNamePassword身份验证方式,基于WSHttpBinding绑定协议的实现过程。主要内容:基本概念,然后是制作证书、SSL证书设置、服务端配置、客户端配置、总结。WCF安全模式实现方式之间密切。在这里可见一斑。
     此验证方式和 WCF分布式安全开发实践(2):传输安全模式之基本身份验证(Windows账户密码):Transport_Basic_WSHttpBinding 还有 WCF分布式安全开发实践(5):传输安全模式之Certificate身份验证:Transport_Certificate_WSHttpBinding .都有类似的地方。首先我们来介绍一下什么是传输安全模式的自定义X509Certificate证书。
【0】传输安全模式之自定义X509Certificate证书身份验证:
       传输安全模式之基本身份验证需要服务器需要一个有效的可用于安全套接字层 (SSL) 的 X.509 证书,并且客户端必须信任此服务器证书。 这里使用https协议。客户端提供有效的自定义X509Certificate证书。
1.身份验证(服务器):提供证书,(使用 HTTPS) 
2.身份验证(客户端):提供自定义X509Certificate证书
   WCF安全模式自定义自定义X509Certificate证书身份验证的架构如下:
    客户端建立SSL安全套接层以后,会使用商定的密码对消息签名,客户端使用证书加密数据,服务端使用证书解密数据,保证数据的安全和机密性,消息签名放置被篡改。这个链接是唯一的。通信结束以后会关闭连接。
(1)验证 HTTPS 客户端证书
   当使用 HTTPS 在客户端和服务间通信时,客户端用于向服务进行身份验证的证书必须支持链信任。也就是说,它必须链至受信任的根证书颁发机构。否则,HTTP 层将引发 WebException,并显示消息“远程服务器返回错误: (403) 禁止。”WCF 将此异常包装为 MessageSecurityException。
(2)验证 HTTPS 服务证书
   当使用 HTTPS 在客户端和服务间通信时,服务器身份验证使用的证书默认情况下必须支持链信任。也就是说,它必须链至受信任的根证书颁发机构。不会执行任何在线检查来查看证书是否已吊销。可以通过注册 RemoteCertificateValidationCallback 回调来重写此行为,如以下代码所示。
其中,ValidateServerCertificate 的签名如下: public  static  bool ValidateServerCertificate(
      object sender,
      X509Certificate certificate,
      X509Chain chain,
      SslPolicyErrors sslPolicyErrors)。
实现 ValidateServerCertificate 可以执行客户端应用程序开发人员认为在验证服务证书时有必要进行的任何检查。
 

   是制作和设置SSL证书的过程,和传输安全模式的过程一样,这里直接使用相同证书和端口。延续以前的风格。
【1】制作证书:
(1)使用makecert 工具:Microsoft Visual Studio 2008-->Visual Studio Tools-->Visual Studio 2008 命令提示行。
输入: makecert -sr localmachine -ss My -n CN=WCFServerPK -sky exchange -pe -r


输入: makecert -sr localmachine -ss My -n CN=WCFClientPK -sky exchange -pe -r。
-这里制作了连个证书,主要只使用一个WCFServerPK,可以到出密钥文件pfx,后续我们要导入到其他存储区,设置为信任的证书。WCFClientPK -是为以后文章准备的,也是可以设置为信任的证书。

 (2) 打开浏览器---->Internet 选项----->内容----->证书----->个人,默认是保存到当前用户CurrentUser,你会看到刚才制作的证书。这个可以查看部分证书,但是功能有限。我们还是使用控制台证书管理工具。
 (3)使用MMC建立证书控制单元查看证书的信息:
  开始--运行--MMC--控制台--添加删除单元--证书--当前用户和计算机各添加一个。能查看和管理CurrentUser和LocalMachine的证书。如图:
(4)导入证书到信任的人和信任的CA机构里。步骤如下:
    1.导出证书文件,带密钥的pfx文件。使用mmc,保存到桌面位置(方便查找)。这里记住你制作证书的密码。要使用。
    2.导入证书到信任的人。使用任务-导入向导--选择证书文件,导入即可。
    3.导入证书到信任的机构,使用任务-导入向导--选择证书文件,导入即可。这个证书就被信任了。
【2】SSL证书设置:
   下面我们来设置SSL端口证书,这个步骤很重要。不然客户端无法查找到WCF服务。
【2.1】查询SSL证书设置:
     需要为使用的端口SSL注册证书。Windows Server 2003 或 Windows XP,则使用 HttpCfg.exe 工具。Windows Server 2003 中已安装该工具。下载该工具 /Files/frank_xl/HttpcfgFrankXuLei.rar。如果运行的是 Windows Vista,则使用已安装的 Netsh.exe 工具。在Windows\System32目录下。运行此工具需要命令窗口切换到相应工具解压缩目录下,我直接放置到D盘根目录。方便查找。
     (1)在 Windows Server 2003 或 Windows XP 中,通过  query 和  ssl 开关使用 HttpCfg.exe 工具查看当前端口配置,在命令窗口切换到HttpCfg在文件目录,你如下 面代码:
         httpcfg query ssl
  
  (2) Vista:
       netsh http show ss lcert
    查询SSL端口证书设置信息,如图:
【2.2】设置SSL证书:
    (1)在 Windows Server 2003 或 Windows XP:
       httpcfg set ssl -i 0.0.0.0:9001-h 9174185b2860b6d5ec3de133d5fcc4e1419b09e5
    (2)Vista:
       netsh http add sslcert ipport=0.0.0.0:9001 certhash=9174185b2860b6d5ec3de133d5fcc4e1419b09e5
  appid={11111111-2222-3333-4444-qqqqqqqqqqqqq} 。最后一个GUID.你可以随便编写一个。使用工具也可以。certhash 参数指定证书的指纹。ipport 参数指定 IP 地址和端口,功能类似于前述 Httpcfg.exe 工具的 -i 开关。appid 参数为可用于标识所属应用程序的 GUID。
 【2.3】删除SSL证书:
    (1)Windows Server 2003 和 Windows XP 中:
    httpcfg delete ssl -i 0.0.0.0:9001-h 9174185b2860b6d5ec3de133d5fcc4e1419b09e5
    (2)Vista:
    Netsh http delete sslcert ipport=0.0.0.0:9001。
【3】服务端配置:
    SSL端口证书配置完成以后,我们来配置服务端相关的文件,首先要实现自定义身份验证的代码。我们就要对WCF服务端进行配置,直接使用配置文件,这里简单。也可以使用代码来完成。
    (1)服务验证代码:
    证书制作完整以后,就需要来实现自定义用户名和密码的验证程序。这里要重写X509CertificateValidator类的 Validate(X509Certificate2 certificate)方法。具体代码如下:
   // 证书验证程序,这里可以访问证书数据库或者其他证书存储机构,来验证客户端证书的真伪。
         public   class  CustomX509CertificateValidator : X509CertificateValidator
        {
            
public   override   void  Validate(X509Certificate2 certificate)
            {
                Console.WriteLine(
" Certificate Subject is :{0} " , certificate.Subject);
                Console.WriteLine(
" Certificate Thumbprint is :{0} " , certificate.Thumbprint);
                
// This is the Client  Certificate Thumbprint,In Production,We can validate the Certificate With CA
                 if  (certificate.Thumbprint  !=   " 862cefb4925a0c248b0ef461a848bc256a488d31 " )
                {

                    Console.WriteLine(
" CertificateValidatation is failed !{0} " , certificate.Subject);
                    
throw   new  SecurityTokenException( " Unknown Certificate " );
                }
                
else
                {
                    Console.WriteLine(
" CertificateValidatation is sucessfully !:{0} " , certificate.Subject);
                }
            } 
        }
   这里假定证书的指纹是862cefb4925a0c248b0ef461a848bc256a488d31。如果客户端提供的证书信息不对,就直接抛出异常,验证失败,实际应用我们可以到CA证书机构或者证书数据库查询数据,来判定客户端证书的有效性。传输安全保证了用户名密码的机密性,而验证代码可以灵活地访问我们系统的数据库或者CA来判定客户端是否是有效的客户端。可以很好的保护WCF服务。与自定义用户名密码的方式一样,验证程序比较灵活。服务器不需要导入客户端证书。
    (2)服务类定义:
     这里服务类就一个方法就是更具用户的name来打印调用时间,代码如下:
 //1.服务契约
    [ServiceContract(Namespace = "http://www.cnblogs.com/frank_xl/" )]
    
public interface
 IWCFService
    {
        
//操作契约

        [OperationContract]
        
string SayHello(string
 name);

    }
    
//2.服务类,继承接口。实现服务契约定义的操作

    public class  WCFService : IWCFService
    {
        
//实现接口定义的方法

        public string SayHello(string  name)
        {
            Console.WriteLine(
"Hello! {0},Calling at {1} "
, name,DateTime.Now.ToLongTimeString());
            
return "Hello! " +
 name;
        }
    }
    (3)传输安全模式配置:
       使用传输安全模式,采用客户端Certificate身份验证策略,transport安全模式下的用户自定义证书方式要在客户端基本Certificate验证类型下实现。配置信息如下:
       < wsHttpBinding >
        
< binding  name = " TransportAndCertificate "     >
          
< security mode = " Transport " >
            
< transport clientCredentialType  = " Certificate " />
            
< message clientCredentialType = " None " />
          
</ security >
        
</ binding >
      
</ wsHttpBinding >
   这个配置要应用到服务的终结点配置上。才会生效。
    (4)证书使用:
    在服务行为节点属性里配置使用证书WCFServerPK,这个服务器证书就是SSL证书。另外要设置客户端验证方式为自定义。 certificateValidationMode="Custom" 。和自定义用户名密码的设置有些差别,但是同样要提供自己的自定义验证类的设置。配置信息如下:
       < serviceBehaviors >
        
< behavior name = " WCFService.WCFServiceBehavior " >
          
< serviceMetadata httpsGetEnabled = " true "   />
          
< serviceDebug includeExceptionDetailInFaults = " false "   />
          
< serviceCredentials >
              
< serviceCertificate  storeName = " My "   x509FindType = " FindBySubjectName "  findValue = " WCFServerPK "  storeLocation = " LocalMachine " />
            
< clientCertificate  >
              
< authentication   certificateValidationMode = " Custom "   customCertificateValidatorType = " WCFService.CustomX509CertificateValidator,WCFService " />
            
</ clientCertificate >
          
</ serviceCredentials >
        
</ behavior >
       
      
</ serviceBehaviors >
 
       (5)IE查看元数据:
      配置好托管宿主以后,我们就可以启动宿主。然后在浏览器里输入元数据终结点。点击浏览会看到如下界面:
   使用的是https协议, 元数据交互也提供了SSL保护。这里可以点击继续浏览,才能看到服务的信息。如下:
    我们可以在这里点击链接,根据借助svcutil来产生客户端文件。我们这里不做尝试,客户端我们直接在项目里添加引用,借助Visual Studio来完成。
【4】客户端配置:
    这个过程和之前的传输安全模式下,添加服务的过程一样。直接引用。
    (1)引用元数据:
    因为服务的元数据交换节点启用了Https协议,我们在客户端项目添加元数据地址 https://computer:9001/mex查找服务信息的时候,会提示SSL证书信息,界面如下:
    这个证明我们的服务端证书设置已经起作用,而且是可信的。现在我们点击Yes。继续就会添加完毕服务引用。过程和普通的添加服务元数据引用一样,会产生客户端相关代码文件。输入NameSpace,等待完成即可。   
    (2)配置文件:
    客户端配置文件使用默认设置,主要是安全模式的设置要如下,与服务端匹配。使用Certificate方式。这样我们才能提供自定义Certificate证书。
                     < security mode = " Transport " >
                        
< transport clientCredentialType = " Certificate "  proxyCredentialType = " None "
                            realm
= ""   />
                        
< message clientCredentialType = " Windows "  negotiateServiceCredential = " true "
                            establishSecurityContext
= " true "   />
                    
</ security >
 
    (3)测试代码:
   等待代码生成结束,我们这里就直接生成客户端代理类的实例来调用服务进行测试。这里客户端在调用服务以前,必须提供有效的 Certificate证书.使用配置文件设置完毕以后,就可以测试,也可以使用代码来设置证书wcfServiceProxy.ClientCredentials.ClientCertificate.Certificate = new X509Certificate2(" WCFClientPK.pfx", "password"); WCFClientPK.pfx是导出的客户端证书的文件,包含密钥,密码为保护密码。客户端测试代码如下:
class  WCFClientTest
    {
        
static   void  Main( string [] args)
        {
            
try
            {
                
// Client Proxy 
                WCFClient.ClientProxy.WCFServiceClient clientProxy  =   new  WCFClient.ClientProxy.WCFServiceClient( " WSHttpBinding_IWCFService " );
                
// 通过代理调用SayHello服务
                 string  sName  =   " Frank Xu Lei Transport Custom Certificate WSHttpBinding " ;
                
string  sResult  =   string .Empty;
                Util.SetCertificatePolicy();
// 强制信任证书。重写验证服务端证书的方法。
                sResult  =  clientProxy.Hello(sName);
                Console.WriteLine(
" Returned Result is {0} " , sResult);
            }
            
catch  (Exception e)
            {
                Console.WriteLine(
" Exception : {0} " , e.Message);
            }
            
// For Debug
            Console.WriteLine( " Press any key to exit " );
            Console.Read();

        }
   此处的客户端提供证书的方式和 WCF分布式安全开发实践(5):传输安全模式之Certificate身份验证:Transport_Certificate_WSHttpBinding 一样。客户端都可以通过配置文件或者代码的形式来提供一个有效的证书。 
  (4)测试结果:
   启动宿主程序,然后启动客户端程序,稍作等待, Certificate证书无效的时候,服务器验证客户端证书失败,客户端不能调用服务。,当我们提供了有效的 Certificate证书的时候,客户端成功调用服务,宿主打印的消息。如图:
【5】总结
     Windows Communication Foundation (WCF) 服务和客户端。服务器需要一个有效的可用于安全套接字层 (SSL) 的 X.509 证书,并且客户端必须信任此服务器证书。WCF安全机制都是依赖现有的安全体系和框架来完成的。
   (1)此处实现原理和自定义用户名密码验证方式类似,我们要提供了自定义X509CertificateValidator的验证代码。
   (2)客户端提交证书的方式与传输安全之证书验证方式一样,客户端可以使用配置文件或者代码的方式来实现。
   (3)与传输安全证书验证方式不同的是,我们可以自己来定义客户端证书的验证逻辑实现。这样在使用客户端证书的时候,验证方式可以简单化,易于控制。不需要购买商业证书或者访问CA等方式,节约开发成本。
   (4)给出今天的参考代码,供大家参考:
/Files/frank_xl/2.5.WCFServiceSecurityDemoFrankXuLei_Transport_X.509Certificate_WSHttpBinding.rar
     以上基本是传输安全主要客户端验证方式。除了NTLM和Digest方式没给出实现外,常用的方式都给出了详细的介绍和实现的参考代码。无论个人学习还是实际项目的WCF安全开发都可以作为参考。Transportat安全模式目前是6篇文章,希望对大家的学习有帮助。
    我继续写WCF Message安全模式的相关文章~
参考文章:
0.WCF分布式安全开发实践(3):传输安全模式之自定义用户名密码身份验证:Transport_UserNamePassword_WSHttpBinding 
1.WCF分布式安全开发实践(2):传输安全模式之基本身份验证(Windows账户密码):Transport_Basic_WSHttpBinding 
2.WCF分布式开发常见错误(21):unable to open its IChannelListener.分发器未能打开侦听器 
3.http://social.microsoft.com/Forums/zh-CN/wcfzhchs/thread/e1aa7bea-90d8-41e6-b91b-7addba44f8e3
4.WSE3.0构建Web服务安全(2):非对称加密、公钥、密钥、证书、签名的区别和联系以及X.509 证书的获得和管理,具体5.http://msdn.microsoft.com/library/chs/default.asp?url=/library/CHS/cptools/html/cpgrfcertificatecreationtoolmakecertexe.asp
6.Httpcfg 语法:http://technet.microsoft.com/zh-cn/library/cc781601(WS.10).aspx
7.安全套接字层(SSL)-安全套接字层(SSL)简介:http://www.hudong.com/wiki/%E5%AE%89%E5%85%A8%E5%A5%97%E6%8E%A5%E5%AD%97%E5%B1%82%28SSL%29#1
8.WCF分布式安全开发实践(1):传输安全模式之匿名客户端:Transport_None_WSHttpBinding 
9.http://msdn.microsoft.com/en-us/library/ms733775.aspx




 本文转自 frankxulei 51CTO博客,原文链接:http://blog.51cto.com/frankxulei/320938,如需转载请自行联系原作者





相关文章
|
2月前
|
分布式计算 负载均衡 Java
构建高可用性Java应用:介绍分布式系统设计与开发
构建高可用性Java应用:介绍分布式系统设计与开发
34 0
|
2月前
|
存储 负载均衡 NoSQL
【分布式技术架构】「Tomcat技术专题」 探索Tomcat集群架构原理和开发分析指南
【分布式技术架构】「Tomcat技术专题」 探索Tomcat集群架构原理和开发分析指南
82 1
|
2月前
|
缓存 应用服务中间件 数据库
【分布式技术专题】「缓存解决方案」一文带领你好好认识一下企业级别的缓存技术解决方案的运作原理和开发实战(多级缓存设计分析)
【分布式技术专题】「缓存解决方案」一文带领你好好认识一下企业级别的缓存技术解决方案的运作原理和开发实战(多级缓存设计分析)
92 1
|
2月前
|
存储 缓存 监控
【分布式技术专题】「缓存解决方案」一文带领你好好认识一下企业级别的缓存技术解决方案的运作原理和开发实战(场景问题分析+性能影响因素)
【分布式技术专题】「缓存解决方案」一文带领你好好认识一下企业级别的缓存技术解决方案的运作原理和开发实战(场景问题分析+性能影响因素)
68 0
|
12月前
|
前端开发
WCF更新服务引用报错的原因之一
WCF更新服务引用报错的原因之一
|
11月前
|
C# 数据安全/隐私保护
c#如何创建WCF服务到发布(SqlServer版已经验证)
c#如何创建WCF服务到发布(SqlServer版已经验证)
46 0
|
11月前
|
安全 数据库连接 数据库
WCF服务创建到发布(SqlServer版)
在本示例开始之前,让我们先来了解一下什么是wcf? wcf有哪些特点? wcf是一个面向服务编程的综合分层架构。该架构的项层为服务模型层。 使用户用最少的时间和精力建立自己的软件产品和外界通信的模型。它使得开发者能够建立一个跨平台的安全、可信赖、事务性的解决方案。且能与已有系统兼容写作。 简单概括就是:一组数据通信的应用程序开发接口。
79 0
|
12月前
Visual Studio 2022 创建 WCF服务 找不到
Visual Studio 2022 创建 WCF服务 找不到
|
C++
WCF基础教程(二)——解析iis8和iis8.5+VS2013发布wcf服务问题
WCF基础教程(二)——解析iis8和iis8.5+VS2013发布wcf服务问题
114 0
WCF基础教程(二)——解析iis8和iis8.5+VS2013发布wcf服务问题
WCF使用纯代码的方式进行服务寄宿
服务寄宿的目的是为了开启一个进程,为WCF服务提供一个运行的环境。通过为服务添加一个或者多个终结点,使之暴露给潜在的服务消费,服务消费者通过匹配的终结点对该服务进行调用,除去上面的两种寄宿方式,还可以以纯代码的方式实现服务的寄宿工作。
870 0