WCF NetTcpBinding Transport安全模式(5) ClientCredentialType证书验证模式----None验证模式...

WCF NetTcpBinding Transport安全模式(5)    ClientCredentialType证书验证模式----None验证模式

需要说明的是，和服务器端证书配置在<serviceBehaviors>节中，而客户端配置在endpointBehaviors中。在代码清单11-19的服务端配置和代码清单11-23的客户端配置中，都将certificateValidationMode属性设置为“None”。protectionLevel设置为"EncryptAndSign"，由于证书验证采用的是SSL加密，仅支持EncryptAndSign的保护级别。

此时启动服务端进行监听，然后启动客户端，得到如图11-11所示的异常信息。

图11-11               DNS匹配错误

出现这种异常的原因在于服务端采用证书验证之后，默认会将证书名（这里为“XuanhunServer”）作为服务提供的域名。解决方案也很简单，只需在客户的配置节下配置标识属性，指定DNS即可，如代码清单11-24所示。

代码清单11-24  配置DNS

<endpoint name="helloEndPoint" address="net.tcp://127.0.0.1:64567/HelloService"

          binding="netTcpBinding" bindingConfiguration="netTcpBinding"

          contract="WcfSecurityExampleServiceLibrary.IHelloService"  behaviorConfiguration="ForListen">

        <identity>

          <dns value="XuanhunServer"/>

        identity>

      endpoint>

在以上代码中，通过设置<dns value="XuanhunServer"/>指定该终结点请求的域名为"XuanhunServer"。修改之后再次运行客户端，结果如图11-12所示。

图11-12        凭据为证书（客户端和服务端互不验证）的运行结果

将图11-12的运行结果，与之前采用Windows验证对比，用户名变成了客户端证书的名称和证书序列号的组合，凭据类型为“X509”。通过TcpTrace截获的信息，可以给我们更多的启示，如图11-13所示。

图11-13        TcpTrace截获的凭据为证书（客户端和服务端互不验证）部分传输信息

图11-13所示的信息为服务端返回的部分信息，我们从中可以看到信息中附加了当前用户证书存储区的证书信息。

----------------------注：本文部分内容改编自《.NET 安全揭秘》