x.509证书在WCF中的应用

最新推荐文章于 2019-07-09 04:50:25 发布
原创 最新推荐文章于 2019-07-09 04:50:25 发布 · 212 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何在WCF中使用X.509证书实现安全通信,包括证书生成、服务端配置及客户端调用过程。

为什么要用x.509证书?

WCF的服务端和客户端之间,如果不作任何安全处理(即服务端的<security mode="None">),则所有传输的消息将以明文方式满天飞,在internet/intranet环境下无疑是很不安全的,这就是用证书的目的。(当然WCF还有其它安全机制,比如最常见的UserName方式,但通常每次都要从数据库读取用户名/密码信息进行验证,比较麻烦,开销也大,个人觉得还是证书最为方便)--关于x.509证书

的基本知识,可参见http://www.cnblogs.com/yjmyzz/archive/2008/08/19/1271171.html

大致原理(个人理解,可能不太准确):

正确设置服务端与客户端证书后,WCF的服务端启动时,需要利用服务端证书验证,如果验证通过将正常启动,否则报异常,同时客户端调用服务端方法时,也需要提供客户端证书,服务端接受到客户端证书后,验证客户端证书的有效性,如果通过,则允许客户端正常调用。

下面将逐步讲解如何使用:

1.制作证书

先进入到vs2008的命令行状态,即:

开始-->程序-->Microsoft Visual Studio 2008-->Visual Studio Tools-->Visual Studio 2008 命令提示

键入:

makecert -r -pe -n "CN=MyServer" -ss My -sky exchange

解释一下:makecert.exe是一个专门用来制作证书的小工具,上面一行的意思就是制作一个CN=MyServer的服务器证书,默认存储在CurrentUser\My这个位置,同时这个证书标识为可导出。(详细的

MakeCert参数可参见http://msdn.microsoft.com/zh-cn/bfsktky3(vs.80).aspx)

再输入:

makecert -r -pe -n "CN=MyClient" -ss My -sky exchange

生成客户端证书,证书生成好以后,可以在IE里查看到,IE-->工具-->Internet选项-->内容-->证书

x.509证书在WCF中的应用 - qiuguangchun - sandea的个人主页

同时如何管理已经安装的证书,可参见http://www.cnblogs.com/yjmyzz/archive/2008/08/20/1272128.html

2.wcf服务端

vs.net2008启动后,新建一个控制台应用程序-->(右击)添加-->新建项-->WCF服务-->命名为MyService.cs-->保存

保存后,系统会自动生成一个接口文件IMyService.cs

二个文件的内容如下:

IMyService.cs

using System;  

using System.ServiceModel;

namespace Server

{

    // 注意: 如果更改此处的接口名称 "IMyService",也必须更新 App.config 中对 "IMyService" 的引用。

     [ServiceContract]

    public interface IMyService

     {

         [OperationContract]

        string Test();

     }

}

MyService.cs

using System;

using System.ServiceModel;

namespace Server

{

    // 注意: 如果更改此处的类名 "MyService",也必须更新 App.config 中对 "MyService" 的引用。

    public class MyService : IMyService

     {

        public string Test()

         {

             Console.WriteLine("服务端输出:\n" + ServiceSecurityContext.Current.PrimaryIdentity.AuthenticationType);

             Console.WriteLine(ServiceSecurityContext.Current.PrimaryIdentity.Name);

            return "服务端时间:" + DateTime.Now.ToString();

         }

     }

}

再来新建一个cs文件:CustomX509CertificateValidator.cs

内容先贴在下面

using System;

using System.Security.Cryptography.X509Certificates;

using System.IdentityModel.Tokens;

using System.IdentityModel.Selectors;

namespace Server

{

    public class CustomX509CertificateValidator : X509CertificateValidator

     {

        public override void Validate(X509Certificate2 certificate)

         {

             Console.WriteLine(certificate.Subject);

             Console.WriteLine(certificate.Thumbprint);

            if (certificate.Thumbprint != "3E4D4B64A90810B6CFF9B1DD2390D8C9488747BF")

                throw new SecurityTokenException("Certificate Validation Error!");

         }

     }

}

注意:项目必须先添加对System.IdentityModel的引用

解释一下:

这个文件的用户是:客户端要调用服务端方法,并提供客户端证书时,用来验证客户端证书的有效性。注意里面的if (certificate.Thumbprint != "3E4D4B64A90810B6CFF9B1DD2390D8C9488747BF")这一句,大家调试的时候,里面的3E4D4B64A90810B6CFF9B1DD2390D8C9488747BF要换成你自己的客户端证书的信息(每一个证书对应的这一串字符都是唯一的),可通过在IE浏览器里,查看MyClient证书的详细信息得到,见下图:

x.509证书在WCF中的应用 - qiuguangchun - sandea的个人主页

同时注意配置文件App.Config,内容如下

<?xml version="1.0" encoding="utf-8" ?>

<configuration>

    <system.serviceModel>

        <behaviors>

            <serviceBehaviors>

                <behavior name="Server.MyServiceBehavior">

                  <serviceMetadata httpGetEnabled="true" httpGetUrl="http://localhost:8080" />

                  <serviceDebug includeExceptionDetailInFaults="true" />

                  <serviceCredentials>

                    <clientCertificate>

                      <authentication certificateValidationMode="Custom" customCertificateValidatorType="Server.CustomX509CertificateValidator,Server"/>

                    </clientCertificate>

                    <serviceCertificate findValue="MyServer" storeLocation="CurrentUser"

                       x509FindType="FindBySubjectName" />

                  </serviceCredentials>

                </behavior>

            </serviceBehaviors>

        </behaviors>

      <bindings>

        <netTcpBinding>

          <binding name="NewBinding0">

            <security mode="Transport">

              <transport clientCredentialType="Certificate" />

            </security>

          </binding>

        </netTcpBinding>

      </bindings>

        <services>

            <service behaviorConfiguration="Server.MyServiceBehavior" name="Server.MyService">

                <endpoint address="net.tcp://localhost:8081" binding="netTcpBinding" contract="Server.IMyService" bindingConfiguration="NewBinding0"/>              

            </service>

        </services>

    </system.serviceModel>

</configuration>

解释一下:

<authentication certificateValidationMode="Custom" customCertificateValidatorType="Server.CustomX509CertificateValidator,Server"/></clientCertificate>

这一行的意思就是通知WCF服务端,验证客户端证书的模式为自定义,验证时调用Server.CustomX509CertificateValidator这个类来完成验证

<serviceCertificate findValue="MyServer" storeLocation="CurrentUser" x509FindType="FindBySubjectName" />

这一行的意思是WCF服务端验证证书时,到CurrentUser这个位置查询CN=MyServer的证书

最后在Program.cs里启用WCF,内容如下:

using System;  

using System.ServiceModel;

namespace Server

{

    class Program

     {

        static void Main(string[] args)

         {

             ServiceHost host = new ServiceHost(typeof(MyService));

             host.Open();

             Console.ReadKey();

         }

     }

}

build一下,如果编译无错的话,服务端完工,可以运行一下,将弹出一个DOS命令窗口(不过什么输出也没有),只要不报错,就表明Ok了,先不要急着关,尝试浏览一下:

http://localhost:8080/(这个地址哪里来的?回头看下App.config,里面有一行<serviceMetadata httpGetEnabled="true" httpGetUrl="http://localhost:8080/" />,呵呵,明白了吧) 正常的话,应该类似下图所示:

x.509证书在WCF中的应用 - qiuguangchun - sandea的个人主页

3.客户端调用

下面生成服务端的代理和配置文件,客户端开发将用到这二个文件,同样先进入vs2008的命令行状态,输入:

svcutil.exe http://localhost:8080/ /d:c:\123\

注意:输入这一行命令的时候,请确保服务端程序正在运行。这一句的意思就是在c:\123\目录下输出WCF的代理文件和配置文件

打开vs.net2008,再新建一个控制台应用程序,可以命名为Client

把c:\123\下生成的二个文件MyService.cs,output.config添加到Client项目中,同时将output.config改名为App.Config

Progam.cs代码内容如下:

using System;

namespace Client

{

    class Program

     {

        static void Main(string[] args)

         {

            using (MyServiceClient client = new MyServiceClient())

             {

                 Console.WriteLine("客户端输出:");

                 Console.WriteLine(client.Test());

             }

             Console.ReadKey();

         }

     }

}

WCF证书+账户密码加密demo 包含wcf和测试客户端
05-09
教程可见http://www.cnblogs.com/lbhqq/p/6830875.html
精选资源
九个简单的步骤来在WCF上启用X.509证书
04-11
在Windows Communication Foundation (WCF) 中,X.509证书是用于实现安全通信的关键组件。它们主要用于身份验证、加密和消息完整性,特别是在涉及到服务之间的安全互操作时。本篇文章将详细阐述九个简单的步骤来在...
[原创]x.509证书WCF中的应用(CS篇)
weixin_33713503的博客
08-20 159
为什么要用x.509证书?WCF的服务端和客户端之间,如果不作任何安全处理(即服务端的&lt;security mode="None"&gt;),则所有传输的消息将以明文方式满天飞,在internet/intranet环境下无疑是很不安全的,这就是用证书的目的。(当然WCF还有其它安全机制,比如最常见的UserName方式,但通常每次都要从数据库读取用户名/密码信息进行验证,比较麻烦,开销也大,个...
WCF】使用数字证书加密通讯
weixin_30741653的博客
01-30 295
WCF使用证书非常简便,很多事情WCF都帮做好了,例如证书的检查,证书链的检查,加密解密消息的过程等,甚至证书交换和分发也帮搞定了。配置使用证书大致就下面这几个步骤: 1. 分别给服务端和客户端申请数字证书,安装在各自的私人证书库(Personal)中。客户端启动后,WCF会默认到该库查找WCF客户端的数字证书。 2. 将服务端的数字证书导出,安装到客户端系统的可信人员...
【实践】WCF传输安全4:基于SSL的WCF对客户端采用证书验证
weixin_33872660的博客
09-20 210
前一篇我们演示了基于SSL的WCF 对客户端进行用户名和密码方式的认证,本篇我们演示一下服务器端对客户端采用X.509证书的认证方式是如何实现的。 项目结构及服务代码和前两篇代码是基本一样的,为了大家看着方便,再从头到尾进行一下演示。 一、制作证书: 本次制作证书和第一篇略有不一样,主要为了演示证书的信任链关系,我们首先创建一个证书作为证书认证中心(CA)的根证书,我们还是利用MakeCer...
WCF身份验证之一:使用证书进行验证
weixin_30695195的博客
04-17 311
WCF服务是个讨人喜欢的东西, 但是每个网络中的人都可以任意使用服务, 这就是个问题了, 这一组文章简单列举几种身份验证的方法. 本篇文章讨论的是证书验证. 使用X509证书进行身份验证应该说是WCF安全模型中最”正常”的做法, 因为WCF强制要求使用证书加密身份数据, 离开了证书, 所有的身份验证机制拒绝工作, WCF支持的身份验证机制也相当复杂, 这里仅为了让...
通过X.509证书简单实现WCF安全
03-07
**标题:“通过X.509证书简单实现WCF安全”** **正文:** Windows Communication Foundation(WCF)是微软提供的一种...对于.NET开发者来说,理解和掌握如何在WCF中使用X.509证书是提高应用程序安全性的关键技能。
利用X.509证书加强WCF服务的安全性
资源摘要信息:"这篇文章详细探讨了如何利用X.509证书来增强Windows Communication Foundation (WCF)服务的安全性。WCF.NET框架的一个重要组成部分,它允许开发者构建安全、可靠、可互操作的服务。使用X.509证书...
使用X.509证书实现.NET中WCF服务的安全机制
标题“通过X.509证书简单实现WCF安全”指向了在Web服务通信中如何采用X.509证书来保证Windows Communication Foundation (WCF) 服务的安全性。X.509证书是广泛用于互联网的公钥证书标准,用于公钥基础设施(PKI)中...
wcf x.509证书认证
11-30
2. **WCF证书配置**: 在WCF服务中使用X.509证书,需要在服务配置文件(通常是`.config`文件)中设置。这包括指定服务证书、绑定中的安全模式(例如,Transport或Message)、证书存储位置(如CurrentUser或Local...
WCF 使用证书认证 方法
weixin_30270561的博客
07-09 1494
1、 打开 VS2010 Prompt 工具,创建证书。 输入以下命令: makecert.exe -sr LocalMachine -ss MY -a sha1 -n CN=localhost -sky exchange -pe certmgr.exe -add -r LocalMachine -s My -c -n localhost -r CurrentUser -s...
WCF使用X509证书身份验证
晓剑
12-31 2012
一:编写证书验证类        如果不编写证书验证类,x509只能对数据进行加密,客服端随便创建一个证书就能调用wcf服务了        需要实现X509CertificateValidator public class CustomX509CertificateValidator : X509CertificateValidator { ///
WCF安装和证书生成
liyb5619的专栏
05-04 3471
WCF安装(未安装部署后浏览会报错):1、以管理员身份运行cmd2、执行以下语句:"C:/Windows/Microsoft.NET/Framework/v3.0/Windows Communication Foundation/ServiceModelReg.exe" -r -y证书制作:1.制作一个证书: 制作证书: Microsoft Visual Studio 2008-->Visual Studio Tools-->Visual Studio 2008 命令提示行里输入: makecer
寄宿于CS程序的WCF服务
dia83499的博客
03-02 193
最近项目中,需要对外部程序提供服务接口,用来进行数据交互和部分设备控制。由于都是使用的.NET平台开发的,因此想到使用WCF服务。之前也用过WCF服务,但是当初使用的时候是通过IIS寄宿的,有些地方不太让人满意,一则是同一个软件要部署两个地方,CS的桌面程序和寄宿于IIS的WCF服务部分,二则是由于系统本身问题,使用的是SQLite数据库,无法实现多线程访问,造成了数据重复,容易造成数据...
WCF 安全证书认证
仙剑的专栏
07-19 8914
WCF作为.Net Framework 三大核心应用之一,其在安全性方面也拥有强大的功能,WCF不仅与现有的安全性基础结构集成,而且还通过使用安全SOAP消息将分布式安全性扩展到Windows域的范围之外。        WCF使用绑定的方式可以灵活的配置服务的通信方式、安全策略、交互方式等,系统提供多种绑定方式,比如BasicHttpBinding、WSHttpBinding、NetTcpBi
WCF初体验)WCF的认证和消息保护
ailou5431的博客
02-13 286
最近做WCF开发,有个需求是在服务端做认证,网上查资料了解到可以用UserName和Password 来做认证,只需要写好配置文件和在服务端写好验证类就行了,但是网上普遍的博文都是需要用证书,而我自己却只想做个简单的认证不想用证书来增加传输的安全性。随后在网上浏览了很久都没有找到现成的例子,最后明白靠人不如靠己啊哈哈,于是决定自己好...
WCF身份验证之用户名密码认证
Mars Huang
01-03 5279
WCF支持多种认证技术,例如Windowns认证、X509证书、Issued Tokens、用户名密码认证等,在跨Windows域分布的系统中,用户名密码认证是比较常用的,要实现用户名密码认证,就必须需要X509证书,用来加密用户名和密码。 创建数字证书 makecert -sr localmachine -ss My -n CN=ejiyuan -sky exchange -pe -r。 创建服
WCF中实现X.509证书认证的完整教程
在本例中,将探讨如何使用X.509证书实现WCF服务的安全认证,并分享一个完整的WCF证书认证示例。首先,需要准备一个有效的X.509证书。这可以通过购买商业证书或者使用本地机器上自签名的证书来完成。证书需要安装在...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值