【转】x.509证书在WCF中的应用(CS篇)

【转自】x.509证书在WCF中的应用(CS篇)

 

 

为什么要用x.509证书?
WCF的服务端和客户端之间,如 果不作任何安全处理(即服务端的<security mode="None">),则所有传输的消息将以明文方式满天飞,在internet/intranet环境下无疑是很不安全的,这就是用证书的 目的。(当然WCF还有其它安全机制,比如最常见的UserName方式,但通常每次都要从数据库读取用户名/密码信息进行验证,比较麻烦,开销也大,个 人觉得还是证书最为方便)--关于x.509证书

的基本知识,可参见http://www.cnblogs.com/yjmyzz/archive/2008/08/19/1271171.html

大致原理(个人理解,可能不太准确):
正确设置服务端与客户端证书后,WCF的服务端启动时,需要利用服务端证书验证,如果验证通过将正常启动,否则报异常,同时客户端调用服务端方法时,也需要提供客户端证书,服务端接受到客户端证书后,验证客户端证书的有效性,如果通过,则允许客户端正常调用。

 

下面将逐步讲解如何使用:

1.制作证书

先进入到vs2008的命令行状态,即:
开始-->程序-->Microsoft Visual Studio 2008-->Visual Studio Tools-->Visual Studio 2008 命令提示

键入:

makecert -r -pe -n "CN=MyServer" -ss My -sky exchange

解释一下:makecert.exe是一个专门用来制作证书的小工具,上面一行的意思就是制作一个CN=MyServer的服务器证书,默认存储在CurrentUser"My这个位置,同时这个证书标识为可导出。(详细的

MakeCert参数可参见http://msdn.microsoft.com/zh-cn/bfsktky3(vs.80).aspx)

再输入:

makecert -r -pe -n "CN=MyClient" -ss My -sky exchange

生成客户端证书,证书生成好以后,可以在IE里查看到,IE-->工具-->Internet选项-->内容-->证书

同时如何管理已经安装的证书,可参见http://www.cnblogs.com/yjmyzz/archive/2008/08/20/1272128.html

2.wcf服务端

vs.net2008启动后,新建一个控制台应用程序-->(右击)添加-->新建项-->WCF服务-->命名为MyService.cs-->保存

保存后,系统会自动生成一个接口文件IMyService.cs

二个文件的内容如下:
IMyService.cs

using System;  
using System.ServiceModel;

namespace Server
{
    
// 注意: 如果更改此处的接口名称 "IMyService",也必须更新 App.config 中对 "IMyService" 的引用。
    [ServiceContract]
    
public interface IMyService
    {
        [OperationContract]
        
string Test();

    }
}


MyService.cs

using System; 
using System.ServiceModel;
namespace Server
{
    
// 注意: 如果更改此处的类名 "MyService",也必须更新 App.config 中对 "MyService" 的引用。
    public class MyService : IMyService
    {
        
public string Test()
        {
            Console.WriteLine(
"服务端输出:"n" + ServiceSecurityContext.Current.PrimaryIdentity.AuthenticationType);
            Console.WriteLine(ServiceSecurityContext.Current.PrimaryIdentity.Name);
            
return "服务端时间:" + DateTime.Now.ToString(); 
        }
    }
}

再来新建一个cs文件:CustomX509CertificateValidator.cs
内容先贴在下面

using System;
using System.Security.Cryptography.X509Certificates;
using System.IdentityModel.Tokens;
using System.IdentityModel.Selectors;

namespace Server
{
    
public class CustomX509CertificateValidator : X509CertificateValidator
    {
        
public override void Validate(X509Certificate2 certificate)
        {
            Console.WriteLine(certificate.Subject);
            Console.WriteLine(certificate.Thumbprint); 
            
if (certificate.Thumbprint != "3E4D4B64A90810B6CFF9B1DD2390D8C9488747BF")
                
throw new SecurityTokenException("Certificate Validation Error!");
        }
    }
}

 

注意:项目必须先添加对System.IdentityModel的引用

解释一下:
这个文件的用户是:客户端要调用服务端方法,并提供客户端证书时,用来验证客户端证书的有效性。注意里面的if (certificate.Thumbprint != "3E4D4B64A90810B6CFF9B1DD2390D8C9488747BF")这一句,大家调试的时候,里面的 3E4D4B64A90810B6CFF9B1DD2390D8C9488747BF要换成你自己的客户端证书的信息(每一个证书对应的这一串字符都是唯 一的),可通过在IE浏览器里,查看MyClient证书的详细信息得到,见下图:


同时注意配置文件App.Config,内容如下

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
    
<system.serviceModel>
        
<behaviors>
            
<serviceBehaviors>
                
<behavior name="Server.MyServiceBehavior">
                  
<serviceMetadata httpGetEnabled="true" httpGetUrl="http://localhost:8080" />
                  
<serviceDebug includeExceptionDetailInFaults="true" />
                  
<serviceCredentials>
                    
<clientCertificate>
                      
<authentication certificateValidationMode="Custom" customCertificateValidatorType="Server.CustomX509CertificateValidator,Server"/>
                    
</clientCertificate>
                    
<serviceCertificate findValue="MyServer" storeLocation="CurrentUser"
                      x509FindType
="FindBySubjectName" />
                  
</serviceCredentials>
                
</behavior>
            
</serviceBehaviors>
        
</behaviors>
      
<bindings>
        
<netTcpBinding>
          
<binding name="NewBinding0">
            
<security mode="Transport">
              
<transport clientCredentialType="Certificate" />
            
</security>
          
</binding>
        
</netTcpBinding>
      
</bindings>
        
<services>
            
<service behaviorConfiguration="Server.MyServiceBehavior" name="Server.MyService">
                
<endpoint address="net.tcp://localhost:8081" binding="netTcpBinding" contract="Server.IMyService" bindingConfiguration="NewBinding0"/>              
            
</service>
        
</services>
    
</system.serviceModel>
</configuration>

 

解释一下:
<authentication certificateValidationMode="Custom" customCertificateValidatorType="Server.CustomX509CertificateValidator,Server"/></clientCertificate>
这一行的意思就是通知WCF服务端,验证客户端证书的模式为自定义,验证时调用Server.CustomX509CertificateValidator这个类来完成验证

<serviceCertificate findValue="MyServer" storeLocation="CurrentUser" x509FindType="FindBySubjectName" />
这一行的意思是WCF服务端验证证书时,到CurrentUser这个位置查询CN=MyServer的证书

最后在Program.cs里启用WCF,内容如下:

using System;  
using System.ServiceModel;

namespace Server
{
    
class Program
    {
        
static void Main(string[] args)
        {
            ServiceHost host 
= new ServiceHost(typeof(MyService));
            host.Open();
            Console.ReadKey();
        }
    }
}

 

build一下,如果编译无错的话,服务端完工,可以运行一下,将弹出一个DOS命令窗口(不过什么输出也没有),只要不报错,就表明Ok了,先不要急着关,尝试浏览一下:

http://localhost:8080/(这个地址哪里来的?回头看下App.config,里面有一行<serviceMetadata httpGetEnabled="true" httpGetUrl="http://localhost:8080/" />,呵呵,明白了吧) 正常的话,应该类似下图所示:

3.客户端调用

下面生成服务端的代理和配置文件,客户端开发将用到这二个文件,同样先进入vs2008的命令行状态,输入:

svcutil.exe http://localhost:8080/ /d:c:"123"

注意:输入这一行命令的时候,请确保服务端程序正在运行。这一句的意思就是在c:"123"目录下输出WCF的代理文件和配置文件

打开vs.net2008,再新建一个控制台应用程序,可以命名为Client

把c:"123"下生成的二个文件MyService.cs,output.config添加到Client项目中,同时将output.config改名为App.Config

Progam.cs代码内容如下:

using System; 
namespace Client
{
    
class Program
    {
        
static void Main(string[] args)
        {
            
using (MyServiceClient client = new MyServiceClient())
            {
                Console.WriteLine(
"客户端输出:");
                Console.WriteLine(client.Test());
            } 
            Console.ReadKey();
        }
    }
}

同时,参考下面的内容手动修改一下App.Config文件

<?xml version="1.0" encoding="utf-8"?>
<configuration>
    
<system.serviceModel>
      
<behaviors>
        
<endpointBehaviors>
          
<behavior name="NewBehavior">
            
<clientCredentials>
              
<clientCertificate findValue="MyClient" x509FindType="FindBySubjectName"/>
              
<serviceCertificate>
                
<authentication certificateValidationMode="None" />
              
</serviceCertificate>
            
</clientCredentials>
          
</behavior>
        
</endpointBehaviors>
      
</behaviors>
      
<bindings>
            
<netTcpBinding>
                
<binding name="NetTcpBinding_IMyService" closeTimeout="00:01:00"
                    openTimeout
="00:01:00" receiveTimeout="00:10:00" sendTimeout="00:01:00"
                    transactionFlow
="false" transferMode="Buffered" transactionProtocol="OleTransactions"
                    hostNameComparisonMode
="StrongWildcard" listenBacklog="10"
                    maxBufferPoolSize
="524288" maxBufferSize="65536" maxConnections="10"
                    maxReceivedMessageSize
="65536">
                    
<readerQuotas maxDepth="32" maxStringContentLength="8192" maxArrayLength="16384"
                        maxBytesPerRead
="4096" maxNameTableCharCount="16384" />
                    
<reliableSession ordered="true" inactivityTimeout="00:10:00"
                        enabled
="false" />
                    
<security mode="Transport">
                        
<transport clientCredentialType="Certificate" protectionLevel="EncryptAndSign" />
                        
<message clientCredentialType="Windows" />
                    
</security>
                
</binding>
            
</netTcpBinding>
        
</bindings>
        
<client>
            
<endpoint address="net.tcp://localhost:8081/" binding="netTcpBinding"
                bindingConfiguration
="NetTcpBinding_IMyService" contract="IMyService"
                name
="NetTcpBinding_IMyService" behaviorConfiguration="NewBehavior">
                
<identity>
                    
<dns value="MyServer" />
                
</identity>
            
</endpoint>
        
</client>
    
</system.serviceModel>
</configuration>

 

主要是增加了一个节点
<behaviors>
        <endpointBehaviors>
          <behavior name="NewBehavior">
            <clientCredentials>
              <clientCertificate findValue="MyClient" x509FindType="FindBySubjectName"/>
              <serviceCertificate>
                <authentication certificateValidationMode="None" />
              </serviceCertificate>
            </clientCredentials>
          </behavior>
        </endpointBehaviors>
      </behaviors>

上面红色的行,就是表明客户端调用时,将用MyClient证书来验证

 

同时<endpoint address="net.tcp://localhost:8081/" binding="netTcpBinding"
                bindingConfiguration="NetTcpBinding_IMyService" contract="IMyService"
                name="NetTcpBinding_IMyService" behaviorConfiguration="NewBehavior">这一句,增加了behaviorConfiguration="NewBehavior"

好了,Build一下,没有问题的话,开发完成


4.测试:
先启动服务端,再启动客户端,运行结果如下:

(转贴请注明来自"菩提树下的杨过") http://www.cnblogs.com/yjmyzz/archive/2008/08/20/1272550.html

 

注意服务端server.exe输出的信息中3E4D4B64A90810B6CFF9B1DD2390D8C9488747BF与客户端证书完全吻合

最后来谈谈分发问题,上面这一系列测试都是在同一台机器完成的,客户端总不可能总是跟服务端在一台机器上,这个好办,在IE里把MyClient证书导出,注意导出时要选择"是,导出私钥",然后把导出的pfx文件连同客户端程序一起分发到目标客户机即可,这里要注意几点:

a.客户端上的App.config里,要把<endpoint address="net.tcp://localhost:8081/" 中的localhost换成服务端的Ip地址
b.注意防火墙参数设置(本例中,即要把tcp:8081端口打开)

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/304939.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

汉字为什么能流传至今_汉字能流传至今,比毛不易还不易,它的同龄字统统都死掉了...

谁是中国历史上最牛逼的发明&#xff1f;造纸术、指南针&#xff1f;火药、活字印刷术&#xff1f;我觉得都不是我心中最牛逼的发明是来&#xff0c;你坐在椅子上闭上眼睛试着想象一下如果从没有过汉字&#xff0c;会怎么样&#xff1f;如果汉字灭绝了&#xff0c;会怎么样&…

从概念到案例:初学者须知的十大机器学习算法

本文先为初学者介绍了必知的十大机器学习&#xff08;ML&#xff09;算法&#xff0c;并且我们通过一些图解和实例生动地解释这些基本机器学习的概念。我们希望本文能为理解机器学习基本算法提供简单易读的入门概念。 机器学习模型 在《哈佛商业评论》发表「数据科学家是 21 世…

api接口怎么用_API接口的使用我这里用java和python都写出来了

实现调用API接口-阿里云大学​edu.aliyun.compythonimport urllib, sys import urllib.request import sslhost https://api01.aliyun.venuscn.com path /ip method GET appcode a661bca174e1458bacaf7a78d489c5f3 querys ip218.18.228.178 bodys {} url host path ?…

未发现android设备,Brother iPrintScan 应用程序上出现错误信息“未发现支持设备”(Android™ 智能手机)。...

相关型号DCP-110C, DCP-115C, DCP-120C, DCP-130C, DCP-145C, DCP-1518, DCP-1519, DCP-155C, DCP-1608, DCP-1619, DCP-165C, DCP-185C, DCP-330C, DCP-350C, DCP-385C, DCP-540CN, DCP-560CN, DCP-7010, DCP-7025, DCP-7030, DCP-7040, DCP-7055, DCP-7057, DCP-7060D, DCP-7…

baseresponse响应类_Java response响应体和文件下载实现原理

通过response 设置响应体&#xff1a;响应体设置文本&#xff1a;PrintWriter getWriter()获得字符流&#xff0c;通过字符流的write(String s)方法可以将字符串设置到response 缓冲区中&#xff0c;随后Tomcat会将response缓冲区中的内容组装成Http响应返回给浏览 器端。关于设…

测试Live Write的插件

1、文字竖排&#xff1a; 删除&#xff0c;只因首页显示时太占空间。2、酷表情&#xff1a;3、Rhapsody SongI am listening to Sad Songs And Waltzes by Cake . Rhapsody.

手把手教你用7行代码实现微信聊天机器人 -- Python wxpy

环境要求&#xff1a; Windows / Linux / Mac OS Python 3.4-3.6&#xff0c;以及 2.7 版本 wxpy安装 ## 使用国内源安装速度快 pip install -U wxpy -i "https://pypi.doubanio.com/simple/" 实例 让机器人与所有好友聊天 from wxpy import * # 实例化&#xff0c;并…

Dapr 已在塔架就位 将发射新一代微服务

微服务是云原生架构的核心&#xff0c;通常使用Kubernetes 来按需管理服务扩展。微软一直走在 Cloud Native Computing Foundation的 最前沿&#xff0c;并通过使用Kubernetes来支持其超大规模Azure和其混合云Azure Stack&#xff0c;微软对云原生的投资一部分来自其工具&#…

python 复制文件_10 行 Python 代码写 1 个 USB 病毒

(给Python开发者加星标&#xff0c;提升Python技能)转自&#xff1a; 知乎-DeepWeaver昨天在上厕所的时候突发奇想&#xff0c;当你把usb插进去的时候&#xff0c;能不能自动执行usb上的程序。查了一下&#xff0c;发现只有windows上可以&#xff0c;具体的大家也可以搜索(搜索…

html5中外描边怎么写,CSS3实现文字描边的2种方法(小结)

问题最近遇到一个需求&#xff0c;需要实现文字的描边效果&#xff0c;如下图解决方法一首先想到去看CSS3有没有什么属性可以实现&#xff0c;后来被我找到了text-stroke该属性是一个复合属性&#xff0c;可以设置文字宽度和文字描边颜色该属性使用很简单&#xff1a;text-stro…

混凝土墙开洞_满城混凝土柱子切割资质齐全

满城混凝土柱子切割资质齐全专业楼板切割开洞&#xff0c;钢筋混凝土墙开门&#xff0c;开窗&#xff0c;开方洞。混泥土承重墙新开门洞、开窗、通风管道开洞、专业开楼梯口&#xff0c;楼梯口加固&#xff0c;地下室开门洞&#xff0c;水泥墙开门加固、楼板加固、砖墙开门开窗…

马云害怕的事还是发生了

当前&#xff0c;余额宝的收益维持在4%左右不能突破&#xff0c;只能用作“钱包”放点零钱了。 放银行或者余额宝收益偏低&#xff0c;股票市场又处于震荡周期&#xff0c;期货市场等不是普通人进得去的&#xff0c;还不如直接买较高收益的互联网理财产品。 比如屡受政策利好…

Unix操作系统***追踪反击战

阅读提示&#xff1a;在Unix系统遭受***后&#xff0c;确定损失及***者的***源地址相当重要。虽然在大多数***者懂得使用曾被他们攻陷的机器作为跳板来***你的服务器可在他们发动正式***前所做的目标信息收集工作&#xff08;试探性扫描&#xff09;常常是从他们的工作机开始的…

python才能做爬虫,No,C#也可以!

介绍网络爬虫&#xff08;又称为网页蜘蛛&#xff0c;网络机器人&#xff0c;在FOAF社区中间&#xff0c;更经常的称为网页追逐者&#xff09;&#xff0c;是一种按照一定的规则&#xff0c;自动地抓取万维网信息的程序或者脚本。另外一些不常使用的名字还有蚂蚁、自动索引、模…

cmosfixr插件怎么用_3dmax插件神器|怎么用3dmax插件神器去完成背景墙的效果图设计?...

又到3dmax插件神器的小课堂时间了&#xff01;小伙伴们还记得之前几张的知识点吗&#xff1f;如果不记得自己去温习&#xff0c;温故而知新哦&#xff01;如果学会了&#xff0c;下面学习3dmax插件神器小技巧的第四章建模篇的第4.16小节&#xff1a;怎么用3dmax插件神器去完成背…

jsoup 获取html中body内容_jsoup实现java抓取网页内容

jsoup 是一款Java 的HTML解析器&#xff0c;可直接解析某个URL地址、HTML文本内容。它提供了一套非常省力的API&#xff0c;可通过DOM&#xff0c;CSS以及类似于jQuery的操作方法来取出和操作数据。jsoup的主要功能如下&#xff1a;1. 从一个URL&#xff0c;文件或字符串中解析…

html中label的寬度無法修改,如何设置HTML span、label 的宽度

该文讲述如何设定 HTML span 宽度。 缺省情况 HTML span 的宽度设定无效在 HTML 中如何设定 span 的宽度&#xff1f;这看上去是个很简单的问题&#xff0c;似乎用 style 中的 width 属性就可以。例如&#xff1a; /p>"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transit…

27个赢得别人欣赏的诀窍

1.长相不令人讨厌&#xff0c;如果长得不好&#xff0c;就让自己有才气&#xff1b;如果才气也没有&#xff0c;那就总是微笑。2.气质是关键。如果时尚学不好&#xff0c;宁愿纯朴。 3.与人握手时&#xff0c;可多握一会儿。真诚是宝。 4.不必什么都用“我”做主语。 5.不要向朋…

不懂这25个名词,好意思说你懂大数据?

如果你刚接触大数据&#xff0c;你可能会觉得这个领域很难以理解&#xff0c;无从下手。近日&#xff0c;Ramesh Dontha在DataConomy上连发两篇文章&#xff0c;扼要而全面地介绍了关于大数据的75个核心术语&#xff0c;这不仅是大数据初学者很好的入门资料&#xff0c;对于高阶…

您好,dotnet tool

在.net core发布之初&#xff0c;dotnet cli就诞生了&#xff0c;dotnet cli的作用是什么呢&#xff1f;主要是用来创建&#xff0c;还原&#xff0c;构建&#xff0c;发布&#xff0c;测试等一系统管理功能&#xff0c;本来&#xff0c;visual studio中是有这些功能的&#xf…