具有消息安全性的 WCF 路由

Posted 2023-03-10

【中文标题】具有消息安全性的 WCF 路由

【英文标题】：WCF Routing with Message Security

【发布时间】：2012-03-01 03:51:27

【问题描述】：

我有一个带有消息安全身份验证的 WCF 服务。

我想为负载平衡设置路由服务。

由于某种原因它不起作用，我启用了 includeExceptionDetailInFaults 来查看异常，所以在客户端我看到：

未提供客户端证书。指定客户端证书 在 ClientCredentials 中。

证书似乎不是从路由器->服务转发的。

目前客户端/路由器/服务在同一台机器上，所以我拥有所有证书，但如果我将它们部署在不同的机器上，路由器是否必须拥有私钥？

另外，如果我想在路由器和服务之间建立非安全连接（卸载安全性），我该如何提供调用者的身份？

编辑： 对于所有客户端/路由器（服务器和客户端）/服务器，安全配置相同：

            <security mode="Message">
                <message clientCredentialType="Certificate" negotiateServiceCredential="false"
                    algorithmSuite="Default" establishSecurityContext="false" />
            </security>

【问题讨论】：

你能显示这3个配置文件吗？

【参考方案1】：

有很多文章说微软不支持这种情况，这是真的。

This article explains how to write your own custom solution to provide security to all client/router/service.

【参考方案2】：

未提供客户端证书。在 ClientCredentials 中指定客户端证书。

当服务证书与主机域名不匹配时，我看到此错误。

如果您仍然看到此问题，您可以发布一些配置条目吗？

【讨论】：

证书与主机名不匹配。我现在使用'localhost'或IP。但它仍然应该工作..这是一个已知的错误吗？

您可以尝试WinHttpCertCfg.exe 以查看证书是否设置正确并具有使用密钥所需的权限。

我认为这不会有帮助，我以管理员身份运行应用程序，所以我应该有足够的权限。

【参考方案3】：

1) 首先尝试通过代码在客户端设置证书。

ChannelFactory<IService1> factory = 
             new ChannelFactory<IService1>("Service1_Endpoint");
factory.Credentials.ServiceCertificate.SetDefaultCertificate(
             System.Security.Cryptography.X509Certificates.StoreLocation.CurrentUser,
             System.Security.Cryptography.X509Certificates.StoreName.My,
             System.Security.Cryptography.X509Certificates.X509FindType.FindBySubjectName,
             "<SeriveCerificateName>");

如果您确实遇到证书问题，您会在应用程序启动时立即获得异常。

2) 如果没有异常，则检查双方服务证书的指纹。

【参考方案4】：

这篇博文解释说微软不支持这种情况-

http://blogs.microsoft.co.il/blogs/applisec/archive/2011/12/12/wcf-routing-and-message-security.aspx

【讨论】：

这个答案来自 5 年前。我希望微软能修复他们的博客。