具有消息安全性的 WCF 路由

Posted

技术标签:

【中文标题】具有消息安全性的 WCF 路由【英文标题】:WCF Routing with Message Security 【发布时间】:2012-03-01 03:51:27 【问题描述】:

我有一个带有消息安全身份验证的 WCF 服务。

我想为负载平衡设置路由服务。

由于某种原因它不起作用,我启用了 includeExceptionDetailInFaults 来查看异常,所以在客户端我看到:

未提供客户端证书。指定客户端证书 在 ClientCredentials 中。

证书似乎不是从路由器->服务转发的。

目前客户端/路由器/服务在同一台机器上,所以我拥有所有证书,但如果我将它们部署在不同的机器上,路由器是否必须拥有私钥?

另外,如果我想在路由器和服务之间建立非安全连接(卸载安全性),我该如何提供调用者的身份?

编辑: 对于所有客户端/路由器(服务器和客户端)/服务器,安全配置相同:

            <security mode="Message">
                <message clientCredentialType="Certificate" negotiateServiceCredential="false"
                    algorithmSuite="Default" establishSecurityContext="false" />
            </security>

【问题讨论】:

你能显示这3个配置文件吗? 【参考方案1】:

有很多文章说微软不支持这种情况,这是真的。

This article explains how to write your own custom solution to provide security to all client/router/service.

【讨论】:

【参考方案2】:

未提供客户端证书。在 ClientCredentials 中指定客户端证书。

当服务证书与主机域名不匹配时,我看到此错误。

如果您仍然看到此问题,您可以发布一些配置条目吗?

【讨论】:

证书与主机名不匹配。我现在使用'localhost'或IP。但它仍然应该工作..这是一个已知的错误吗? 您可以尝试WinHttpCertCfg.exe 以查看证书是否设置正确并具有使用密钥所需的权限。 我认为这不会有帮助,我以管理员身份运行应用程序,所以我应该有足够的权限。【参考方案3】:

1) 首先尝试通过代码在客户端设置证书。

ChannelFactory<IService1> factory = 
             new ChannelFactory<IService1>("Service1_Endpoint");
factory.Credentials.ServiceCertificate.SetDefaultCertificate(
             System.Security.Cryptography.X509Certificates.StoreLocation.CurrentUser,
             System.Security.Cryptography.X509Certificates.StoreName.My,
             System.Security.Cryptography.X509Certificates.X509FindType.FindBySubjectName,
             "<SeriveCerificateName>");

如果您确实遇到证书问题,您会在应用程序启动时立即获得异常。

2) 如果没有异常,则检查双方服务证书的指纹。

【讨论】:

【参考方案4】:

这篇博文解释说微软不支持这种情况-

http://blogs.microsoft.co.il/blogs/applisec/archive/2011/12/12/wcf-routing-and-message-security.aspx

【讨论】:

这个答案来自 5 年前。我希望微软能修复他们的博客。

以上是关于具有消息安全性的 WCF 路由的主要内容,如果未能解决你的问题,请参考以下文章

WCF 无法为具有 iis 权限的 SSL/TLS 安全通道建立信任关系

带压缩的 WCF 消息安全性

通过消息头的 WCF 安全性

WCF 身份验证 - 验证消息的安全性时出错

WCF 消息安全证书

WCF netNamedPipeBinding 消息级别的安全性,这可能吗?