WCF常用安全方案(五)

利用证书身份验证的传输安全

下面的方案演示由 X.509 证书保护的 Windows Communication Foundation (WCF) 客户端和服务。每个客户端都有一个可用于客户端安全套接字层 (SSL) 身份验证，并受到服务信任的证书。此示例演示一种请求/回复消息模式。

有关 将证书用于服务的更多信息，请参见如何：使用 SSL 证书配置端口。

特征	说明
安全模式	传输
互操作性	与现有 Web 服务客户端和服务。
身份验证（服务器） 身份验证（客户端）	是（使用 HTTPS） 是（使用证书）
完整性	是
保密性	是
Transport	HTTPS
绑定	WSHttpBinding

服务

下面的代码和配置应单独运行。请执行下列操作之一：

• 使用代码（而不使用配置）创建独立服务。
  
• 使用提供的配置创建服务，但不定义任何终结点。
  

代码

下面的代码演示如何创建使用传输安全和证书的服务终结点。

配置

下面的配置可代替代码用于设置服务：

<bindings>
    <wsHttpBinding>
        <binding name="CertificateWithTransport">
            <security mode="Transport">
                <transport clientCredentialType="Certificate"/>
            </security>
        </binding>
    </wsHttpBinding>
</bindings>
<services>
    <service name="ServiceModel.Calculator" 
             behaviorConfiguration="credentialConfig" >
    <endpoint address=""
              binding="wsHttpBinding"
              bindingConfiguration="CertificateWithTransport" 
              contract="ServiceModel.ICalculator" />
     </service>
</services>
<behaviors>
    <serviceBehaviors>
        <behavior name="credentialConfig">
            <serviceCredentials>
                <clientCertificate trustedStoreLocation="LocalMachine" 
                                   revocationMode="Online"/>
            </serviceCredentials>
        </behavior>
    </serviceBehaviors>
</behaviors>

客户端

下面的代码和配置应独立运行。请执行下列操作之一：

• 使用代码（和客户端代码）创建独立客户端。
  
• 创建不定义任何终结点地址的客户端。而使用将配置名称作为参数的客户端构造函数。例如：
  

代码

下面的代码创建客户端。绑定配置为使用传输模式安全（采用 TCP 传输协议），并且客户端凭据类型设置为 Windows。

配置

下面的配置代码是针对该客户端，并且同样指定了证书位置以及用于查找它的值。