WCF常用安全方案(五)

利用证书身份验证的传输安全

下面的方案演示由 X.509 证书保护的 Windows Communication Foundation (WCF) 客户端和服务。每个客户端都有一个可用于客户端安全套接字层 (SSL) 身份验证，并受到服务信任的证书。此示例演示一种请求/回复消息模式。

有关 将证书用于服务的更多信息，请参见使用证书和如何：使用 SSL 证书配置端口。

特征	说明
安全模式	传输
互操作性	与现有 Web 服务客户端和服务。
身份验证（服务器） 身份验证（客户端）	是（使用 HTTPS） 是（使用证书）
完整性	是
保密性	是
Transport	HTTPS
绑定	WSHttpBinding

服务

下面的代码和配置应单独运行。请执行下列操作之一：

• 使用代码（而不使用配置）创建独立服务。
  
• 使用提供的配置创建服务，但不定义任何终结点。
  

代码

下面的代码演示如何创建使用传输安全和证书的服务终结点。

配置

下面的配置可代替代码用于设置服务：

<bindings>

    <wsHttpBinding>

        <binding name="CertificateWithTransport">

            <security mode="Transport">

                <transport clientCredentialType="Certificate"/>

            </security>

        </binding>

    </wsHttpBinding>

</bindings>

<services>

    <service name="ServiceModel.Calculator" 

             behaviorConfiguration="credentialConfig" >

    <endpoint address=""

              binding="wsHttpBinding"

              bindingConfiguration="CertificateWithTransport" 

              contract="ServiceModel.ICalculator" />

     </service>

</services>

<behaviors>

    <serviceBehaviors>

        <behavior name="credentialConfig">

            <serviceCredentials>

                <clientCertificate trustedStoreLocation="LocalMachine" 

                                   revocationMode="Online"/>

            </serviceCredentials>

        </behavior>

    </serviceBehaviors>

</behaviors>

客户端

下面的代码和配置应独立运行。请执行下列操作之一：

• 使用代码（和客户端代码）创建独立客户端。
  
• 创建不定义任何终结点地址的客户端。而使用将配置名称作为参数的客户端构造函数。例如：
  

代码

下面的代码创建客户端。绑定配置为使用传输模式安全（采用 TCP 传输协议），并且客户端凭据类型设置为 Windows。

配置

下面的配置代码是针对该客户端，并且同样指定了证书位置以及用于查找它的值。

<?xml version="1.0" encoding="utf-8"?>

<configuration>

  <system.serviceModel>

    <behaviors>

      <endpointBehaviors>

        <behavior name="credentialConfiguration">

          <clientCredentials>

            <clientCertificate findValue="Contoso.com"

                      storeLocation="CurrentUser" 

                      x509FindType="FindBySubjectName" />

          </clientCredentials>

        </behavior>

      </endpointBehaviors>

    </behaviors>

    <bindings>

      <wsHttpBinding>

        <binding name="WSHttpBinding_ICalculator">

          <security mode="Transport">

            <transport clientCredentialType="Certificate" />

          </security>

        </binding>

      </wsHttpBinding>

    </bindings>

    <client>

      <endpoint address="https://machineName/Calculator"

                behaviorConfiguration="credentialConfiguration"

                binding="wsHttpBinding"

                bindingConfiguration="WSHttpBinding_ICalculator"

                contract="ICalculator"

                name="WSHttpBinding_ICalculator" />

    </client>

  </system.serviceModel>

</configuration>