WCF X.509证书双向认证小结

最近在学习WCF
X.509证书验证,想实现使用证书实现服务端和客户端的双向认证,实现原理是利用了数字证书包含的一对非对称密钥来实现数字签名及加密。所谓非对称密钥是采用两个密钥将加密和解密能力分开:一个公钥和一个私钥,公钥可解密私钥加密的信息,私钥也可以解密公钥加密的信息,前者用于数字签名后者用于信息加密,但从一个密钥是不可能分析出另一个密钥。利用非对称密钥的特点,我们将私钥签名的证书安装在服务端,把公钥签名的证书放在客户端,就可以实现使用证书实现服务端和客户端的双向认证。具体步骤如下:

【1】制作证书

(1)
需要创建一个证书作为证书认证中心(CA)的根证书,它用来签名所有在该CA注册的其他证书。这里使用makecert 工具:Microsoft Visual
Studio 2008-->Visual Studio Tools-->Visual Studio 2008 命令提示行。在Visual
Studio命令窗口输入以下命令创建证书

 makecert
-n "CN=WCFRootCA" -r -sv WCFRootCA.pvk WCFRootCA.cer.  

生成证书时会提示设置私钥密码,这个密码是证书启用、导出、导入时的保护密码,为了防止其他人以不法手段窃取钥匙。我这里设置成WCF1234.

  相关命令参数含义可以在命令窗口输入:makecert查看。制作的证.书中扩展名为.cer的文件是公钥,而.pvk文件则是私钥;还有一种以.pfx为扩展名的文件是密钥交换文件包含公钥和私钥。

接着,将根证书分别安装到服务端和客户端的计算机上。运行“mmc”命令添加证书单元,在受信任的根证书颁发机构节点下的证书节点导入根证书,根证书就安装完毕了。

  (2) 将 WCFRootCA 安装的服务器和客户机上

运行“mmc”命令添加证书单元,将证书WCFRootCA.cer安装在本地计算机(Local
Machine)—>受信任的根证书颁发机构(Trusted Root Certification Authorities)中。

  (3) 在服务器和客户端上创建并安装服务证书  

   因为要采用双向认证,所以服务端和客户端都各需要一个证书,通过下列命令创建一个由根证书签名的服务端证书:

  makecert -sk AutoWCF -iv WCFRootCA.pvk -n "CN=WCFServer" -ic
WCFRootCA.cer -sr localmachine -ss my -sky exchange -pe
WCFServer.cer

  执行这个命令后,服务证书WCFServer.cer被安装到“本地计算机(Local Machine)—>个人(Personal)中

注意:-sk
指定主题的密钥容器位置,该位置包含私钥。如果密钥容器不存在,系统将创建一个,但每个证书的密钥容器时唯一的。

客户端证书创建命令与其相似。

注意:导出客户端证书时要选择不导出私钥。这样私钥只留在服务端。

  最后,还需要给WCF进程访问服务端证书私钥的权利。可以通过运行下列命令实现:

  FindPrivateKey.exe My LocalMachine –n "CN= WCFServer "

  【2】配置文件编写

  证书设置完成后就可以来配置所选用的安全策略了,WCF既可以使用代码完成也可以通过配置文件完成。使用配置文件配置结构清晰,易于修改,所以此例采用这种方式。

    使用消息安全模式,客户端采用证书身份验证策略,证书验证方式配置信息如下


  <bindings>

    <wsHttpBinding>

      <binding name="BindingConfigration">

        <security mode="Message">

          <transport clientCredentialType="None"/>

          <message clientCredentialType="Certificate" negotiateServiceCredential="true" establishSecurityContext="true"/>

        </security>

      </binding>

    </wsHttpBinding>

 </bindings>

这个配置要应用到服务的终结点配置上才会生效。除此之外,还要在服务行为中配置使用证书的相关信息。


<behaviors>

      <serviceBehaviors>

        <behavior name="WCFService.WCFServiceBehavior">

          <serviceMetadata httpGetEnabled="true" />

          <serviceDebug includeExceptionDetailInFaults="false" />

          <serviceCredentials>

              <serviceCertificate  storeName="My"  x509FindType="FindBySubjectName" findValue="WCFServer" storeLocation="LocalMachine"/>

       </serviceCredentials>

</behavior>

 这里指定了服务端证书的查找位置和查找条件。将此配置信息应用到服务,服务端的安全配置就算完成了。客户端配置与之相似,也要配置绑定和终结点服务行为。终结点服务行为中的证书设置应与客户端证书相关信息相符。


<behaviors>

        <endpointBehaviors>

          <behavior name="endpointBehavior">

            <clientCredentials>

              <clientCertificate storeName="My"

                                 x509FindType="FindBySubjectName"

                                 findValue="WCFClient"

                                 storeLocation="CurrentUser"/>

            </clientCredentials>

          </behavior>

        </endpointBehaviors>

      </behaviors>

WCF X.509证书双向认证小结,布布扣,bubuko.com

时间: 2024-10-25 05:23:48

WCF X.509证书双向认证小结的相关文章

nginx_ssl证书双向认证以及负载均衡配置

#user nobody;worker_processes 1; #error_log logs/error.log;#error_log logs/error.log notice;#error_log logs/error.log info; #pid logs/nginx.pid; events { use epoll;#仅用于linux2.6以上内核,可以大大提高nginx的性能 worker_connections 1024;} http { include mime.types; d

Tomcat容器https配置之双向认证

在上一篇https单向认证基础上(如果没看过的,请先移步:http://www.cnblogs.com/leafsunday/p/6885568.html),开始https双向认证之旅. 生成客户端keystore(PKCS12格式,便于导入浏览器) C:\Users\Administrator>keytool -genkeypair -alias client -keyalg RSA -keysize 1024 -keypass changeit -keystore d:/client.p12

https 单向双向认证说明_数字证书, 数字签名, SSL(TLS) , SASL

转自:https 单向双向认证说明_数字证书, 数字签名, SSL(TLS) , SASL 因为项目中要用到TLS + SASL 来做安全认证层. 所以看了一些网上的资料, 这里做一个总结. 1. 首先推荐几个文章: 数字证书: http://www.cnblogs.com/hyddd/archive/2009/01/07/1371292.html 数字证书和SSL: http://www.2cto.com/Article/201203/121534.html 数字签名: http://www.

基于X.509证书和SSL协议的身份认证过程实现(OpenSSL可以自己产生证书,有TCP通过SSL进行实际安全通讯的实际编程代码)good

上周帮一个童鞋做一个数字认证的实验,要求是编程实现一个基于X.509证书认证的过程,唉!可怜我那点薄弱的计算机网络安全的知识啊!只得恶补一下了. 首先来看看什么是X.509.所谓X.509其实是一种非常通用的证书,什么是证书?唉!这么说吧!当两个人需要进行远程通信而又不想让第三个人知道时就必须建立一种安全措施,因为看不到对方的脸,又不能通过电话直接询问对方,就得想点别的办法,比如我设计一个密码,让后发短信告诉你,这样当我们在网上交流之前就可以对一下密码,暗号之类的.确认后就可以证明你的身份了.这

官方颁发的SSL证书与自签名证书结合实现网站双向认证

这是一个非常有趣的实验. 大家已经知道,一些SSL证书颁发机构颁发的证书,只是装在服务器端,让访问者通过SSL链接访问网站,并且可以向访问者证实网站的真实地址.但是,如果要限制网站的访问者,也就需要验证客户端所拥有的证书,这样才能建立安全链接.而机构在颁发SSL证书的时候,并没有配套的客户端证书,因此无法在客户端安装,也就无法开启对客户端的认证了. AD CS的证书服务可以颁发服务器端SSL证书,也可以颁发客户端证书(见前文),但是AD CS颁发的服务器端SSL证书只能绑定一个域名,即 WWW.

Openssl CA证书生成以及双向认证,及windows系统证书批量导出,android cer转bks

Openssl CA证书生成以及双向认证 首先本文主要参照这篇文章写的 http://h2appy.blog.51cto.com/609721/1181234 只是途中有些问题折腾了一下,比如openssl.cnf如何来的,这个文件在编译完openssl后,应该openssl根目录下/apps/demoCA有个,可以把他拷贝到openssl.exe同一级目录 里面有些目录配置,自己可以修改下,但是我没有修改,所以最后生成的文件路径必须按openssl.cnf里面来,至于如何编译openssl 请

数字证书及其认证过程[转载]

众所周知,公钥密码学通过使用公钥和私钥这一密钥对,使数字签名和加密通讯等密钥服务变得容易起来.公钥技术之所以能得到广泛的应用,原因就在于对那些使用密钥对中的公钥来获得安全服务的实体,他们能很方便地取得公钥,即密钥分发与管理比起对称密钥的分发与管理变得简单了.所以有人称,非对称密码算法是计算机安全通讯的一次技术革命. 当然,公钥的分发也需要数据完整性保护措施,即需要数据完整性服务来保障公钥不被篡改,并保证公钥一定要有与其声明持有者的身份相对应绑定的机制,最终目的是能提供一种简单安全识别的机制,其一

Android Https双向认证 + GRPC

keywords:android https 双向认证android GRPC https 双向认证 ManagedChannel channel = OkHttpChannelBuilder.forAddress("xxx",yyy) .overrideAuthority("zzz") .sslSocketFactory(sslFactory) .build(); 1.千万不要像官网案例那样设置setPlaintext(true),这个是设置明文,我们用的是密文

[转帖]nginx配置ssl加密(单/双向认证、部分https)

nginx配置ssl加密(单/双向认证.部分https) https://segmentfault.com/a/1190000002866627 nginx下配置ssl本来是很简单的,无论是去认证中心买SSL安全证书还是自签署证书,但最近公司OA的一个需求,得以有个机会实际折腾一番.一开始采用的是全站加密,所有访问http:80的请求强制转换(rewrite)到https,后来自动化测试结果说响应速度太慢,https比http慢慢30倍,心想怎么可能,鬼知道他们怎么测的.所以就试了一下部分页面h