带有客户端证书身份验证的 Wcf 不适用于 soapui

Posted

技术标签:

【中文标题】带有客户端证书身份验证的 Wcf 不适用于 soapui【英文标题】:Wcf with client certificate authentication doesn't work with soapui 【发布时间】:2017-01-30 17:20:59 【问题描述】:

我有一个带有 basicHttpBinding、消息安全模式和证书客户端凭据类型的 wcf 服务。我可以通过 wcf 客户端使用此服务,但此服务也必须在另一个具有 java 客户端的系统中使用。我正在使用 soapui 进行测试,但我得到空响应或安全消息错误。我已经尝试了 variuos soapui 配置来加载客户端证书,但这些都不起作用。我通过 http(非 https)公开了服务,这是服务器 wcf 配置:

<system.serviceModel>
    <bindings>
      <basicHttpBinding>
        <binding name="basicEndPoint" closeTimeout="00:01:00" openTimeout="00:01:00"
                 receiveTimeout="00:10:00" sendTimeout="00:01:00" allowCookies="false"
                 bypassProxyOnLocal="false" maxBufferSize="2147483647" maxBufferPoolSize="2147483647"
                 maxReceivedMessageSize="2147483647" messageEncoding="Text" textEncoding="utf-8"
                 transferMode="Buffered" useDefaultWebProxy="true">
          <readerQuotas maxDepth="2147483647" maxStringContentLength="2147483647"
                        maxArrayLength="2147483647" maxBytesPerRead="2147483647"
                        maxNameTableCharCount="2147483647"/>
          <security mode="Message">
            <message clientCredentialType="Certificate" />
          </security>
        </binding>
      </basicHttpBinding>
    </bindings>
    <behaviors>
      <endpointBehaviors>
        <behavior name="customBehavior">
          <clientCredentials>
            <clientCertificate findValue="ClientSide" x509FindType="FindBySubjectName" storeLocation="LocalMachine" storeName="My"/>
            <serviceCertificate>
              <defaultCertificate findValue="ServerSide" x509FindType="FindBySubjectName" storeLocation="LocalMachine" storeName="My"/>
              <authentication certificateValidationMode="PeerOrChainTrust"/>
            </serviceCertificate>
          </clientCredentials>
        </behavior>
      </endpointBehaviors>
    </behaviors>
    <client>
      <endpoint address="http://localhost:8080/WebServices/ExternalServices.svc"
        behaviorConfiguration="customBehavior" binding="basicHttpBinding"
        bindingConfiguration="basicEndPoint" contract="ServiceReference1.IExternalServices"
        name="BasicHttpBinding_IExternalServices" >
        <identity>
          <certificateReference findValue="ServerSide"  storeName="My" storeLocation="LocalMachine" x509FindType="FindBySubjectName" />
          <dns value="ServerSide"/>
        </identity>
      </endpoint>
      <endpoint address="mex"
              binding="mexHttpBinding"
              contract="IMetadataExchange"/>
    </client>
  </system.serviceModel> 

这个设置有什么问题? 提前致谢

【问题讨论】:

【参考方案1】:

我不是WCF 专家(甚至不是用户:P),但基于配置:

<endpointBehaviors>
    <behavior name="customBehavior">
      <clientCredentials>
        <clientCertificate findValue="ClientSide" x509FindType="FindBySubjectName" storeLocation="LocalMachine" storeName="My"/>
        <serviceCertificate>
          <defaultCertificate findValue="ServerSide" x509FindType="FindBySubjectName" storeLocation="LocalMachine" storeName="My"/>
          <authentication certificateValidationMode="PeerOrChainTrust"/>
        </serviceCertificate>
      </clientCredentials>
    </behavior>
</endpointBehaviors>

似乎为了访问您的服务器端点,您必须提供证书客户端凭据。

所以要从 SOAPUI 调用您的服务,您可以做两件事,首先使用 https 公开您的服务,以便客户端可以提供证书凭据。第二个配置 SOAPUI 如下将客户端证书发送到端点:

从菜单中选择文件 > 首选项,然后选择 SSL 设置。在此面板中选择一个包含对服务有效的客户端密钥和证书的密钥库并输入密钥库密码,可选择标记所需的客户端身份验证

注意:根据您的配置:

<clientCertificate findValue="ClientSide" 
           x509FindType="FindBySubjectName" storeLocation="LocalMachine" storeName="My"/>

有效的客户端证书必须是由位于服务器的 Windows 本地密钥库中的证书颁发机构颁发的最终实体证书。

【讨论】:

感谢您的回复。我已经尝试过这些配置;在使用 basichttpbinding 之前,我已经使用 https 设置了 wshttpbinding 并选择了密钥库和密码,但没有成功。谷歌搜索我读到 wshttpbinding 的互操作性不是很好,所以我将其更改为 basichttpbinding 并尝试不使用 https。我很想知道是否有一些官方指南关于如何使用soap wcf身份验证证书开发服务,不仅与wcf客户端兼容。 @VariableName 我对 PKI、SSL 等有一些了解。但是正如我在回答中所说,我对 WCF 没有具体的经验......我想肯定有关于这个主题的指南,但我不知道在哪里可以找到它,抱歉。【参考方案2】:

我很难为使用客户端证书身份验证的 WCF 测试设置 SOAPUI。最后我得到了它的工作。 面临不同的问题,例如:SNI 支持问题、未签名的“To”标头 Getting WCF to accept unsigned 'To' Header 等。

我建议打开 WCF 跟踪,您可以在服务器上获取详细的错误信息:https://msdn.microsoft.com/en-us/library/ms732023(v=vs.110).aspx,以便轻松排除故障。

【讨论】:

欢迎来到 ***!将链接中的相关材料复制到您的答案可能是个好主意,这样如果链接改变了您的答案仍然有用

以上是关于带有客户端证书身份验证的 Wcf 不适用于 soapui的主要内容,如果未能解决你的问题,请参考以下文章

WCF与相互身份验证

以编程方式使用证书身份验证配置 WCF 服务客户端

通过 HTTPS 上的客户端证书对 WCF 请求进行身份验证

WCF Rest 自托管证书安全服务返回 401 未经授权

Azure Api 规则不适用于使用具有身份验证基本和身份验证证书的默认助手

WCF 消息安全证书