【发布时间】:2009-11-11 18:32:03
【问题描述】:
我正在开发一个 WCF Intranet 应用程序,它将有 150 个客户端由一个控制应用程序控制/监视。创建自签名证书并在 150 个客户端中的每一个上安装相同的证书是否符合规定?
我想要客户端和服务器之间的安全性,但不会获得域控制器等的身份验证支持。
在所有这些客户端上使用相同的证书有什么缺陷吗?
【问题讨论】:
标签: .net wcf certificate monitoring
【发布时间】:2009-11-11 18:32:03
【问题描述】:
陷阱是您将无法真正区分它们,除非它们与请求一起传递某种其他形式的身份。另外,如果其中一个受到威胁,您基本上必须关闭整个服务,因为它们都使用相同的证书。恕我直言,您希望为每个合作伙伴创建一个客户端证书以避免这些问题。
我的问题是,如果您只关心通信安全而不是提供身份,为什么不只使用传输安全(即 SSL)而不是消息安全?
【讨论】:
-
Drew,我认为使用传输安全是可以的,但我不需要证书吗?在工作组场景中,我是否仍然需要证书或者我可以摆脱 Windows ClientCredentialType?
-
是的,但您只需要服务器端的一个证书。您的客户不需要证书,因为他们将使用 SSL 协议为您的服务创建一次性密钥。现在,这里唯一的问题是,如果您使用自己的自定义 CA 创建服务器证书,您的客户端将需要您的 CA 的公共证书的副本,并且需要信任它。
-
酷。谢谢德鲁。我认为这很干净,因为无论如何我都需要在每个客户端上安装管理服务。
如果证书被泄露,您需要将其吊销,生成一个新证书,然后将其安装在每台计算机上。如果每台机器都有自己的机器,您只需撤销不再受信任的机器,生成一台新机器,然后安装一次。
【讨论】:
绝对不是。网站为成千上万的用户使用相同的证书。只有服务器才能解密每个客户端的信息。
【讨论】:
-
他说的是客户端证书,而不是服务器证书。