关于 WCF 安全 - 证书

Question

1. 为什么在指定非 Windows 客户端凭据时需要服务证书？

（我在书上找到一些规范说，服务证书可用于协商对称密钥，以在启用协商时进行消息加密和签名，但如果禁用协商，客户端必须引用商店中的证书或者包括 BASE64 编码的公钥，它会出现另一个问题，如下所示）

1. 当协商被禁用时，肯定会使用服务证书来加密消息，因为客户端知道公钥，但是哪一个用于消息签名？

2. 当启用传输安全，并指定服务证书时，表示该证书将用于协商SSL会话密钥以进行消息签名和加密，它适用于所有绑定，例如HTTP、TCP 等。

3. 当我们使用 Windows 客户端凭据时，哪一个将用于消息加密和签名？

谢谢。

Answer 1

如果您选择对客户端进行身份验证，您可以在 Windows 凭据、用户名、证书或 SAML 令牌之间进行选择。如果 windows auth 不可用，则需要一些其他机制。

至于其他问题，请更具体。一般来说，客户端会生成一个临时密钥（会话密钥），用于加密消息。服务器证书将加密会话密钥。