WCF分布式安全开发实践(2):传输安全模式之基本身份验证(Windows账户密码):Transport_Basic_WSHttpBinding

最新推荐文章于 2019-03-19 15:02:10 发布
最新推荐文章于 2019-03-19 15:02:10 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: WCF分布式安全开发实践 SOA and EAI 文章标签: wcf windows basic ssl 工具 exchange
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/frankxulei/article/details/4735879
版权
Posted on 2009-08-14 01:21 Frank Xu Lei 阅读(1973) 评论(28)   编辑 收藏 网摘 所属分类: WCF分布式安全开发实践, SOA and EAI
   今天继续WCF分布式安全开发实践(2):传输安全模式之基本身份验证(Windows账户密码):Transport_Basic_WSHttpBinding。在昨天的基础上进行扩展,我们加入对客户端身份的有效性的验证。本文介绍的内容主要是:主要是传输安全模式的Basic身份验证方式,基于WSHttpBinding绑定协议。主要内容:先介绍传输安全模式之Basic身份验证方式基本概念,然后是制作证书、SSL证书设置、服务端配置、客户端配置、总结.等部分。
  如果你学习过上一节: WCF分布式安全开发实践(1):传输安全模式之匿名客户端:Transport_None_WSHttpBinding.
那么本节内容对你来说就是在上一节的基础上扩展了一步,增加对客户端身份凭据的验证。
   首先我们来介绍一下什么是传输安全模式的基本身份验证。
【0】传输安全模式之基本身份验证:
       传输安全模式之基本身份验证需要服务器需要一个有效的可用于安全套接字层 (SSL) 的 X.509 证书,并且客户端必须信任此服务器证书。如果不信任此证书会导致建立SSL传输连接失败,因为客户端会认为服务端是一个非法的服务端,因而建立SSL安全套接层失败,这个相关的异常很多,大家很可能会遇到。此外,Web 服务已经有一个可以使用的 SSL 实现。

1.身份验证(服务器):提供证书,(使用 HTTPS)
2.身份验证(客户端):提供用户名/密码

   WCF安全模式基本身份验证的架构如下:

     客户端建立SSL安全套接层以后,会使用商定的密码对消息签名,客户端使用证书加密数据,服务端使用证书解密数据,保证数据的安全和机密性,消息签名放置被篡改。这个链接是唯一的。通信结束以后会关闭连接。
   一下是制作和设置SSL证书的过程,和第一节一样,这里直接使用相同证书和端口。
【1】制作证书:
(1)使用makecert 工具:Microsoft Visual Studio 2008-->Visual Studio Tools-->Visual Studio 2008 命令提示行。
输入:makecert -sr localmachine -ss My -n CN=WCFServerPK -sky exchange -pe -r
输入:makecert -sr localmachine -ss My -n CN=WCFClientPK -sky exchange -pe -r。
-这里制作了连个证书,主要只使用一个WCFServerPK,可以到出密钥文件pfx,后续我们要导入到其他存储区,设置为信任的证书。WCFClientPK -是为以后文章准备的,也是可以设置为信任的证书。
 (2) 打开浏览器---->Internet 选项----->内容----->证书----->个人,默认是保存到当前用户CurrentUser,你会看到刚才制作的证书。这个可以查看部分证书,但是功能有限。我们还是使用控制台证书管理工具。

 (3)使用MMC建立证书控制单元查看证书的信息:
  开始--运行--MMC--控制台--添加删除单元--证书--当前用户和计算机各添加一个。能查看和管理CurrentUser和LocalMachine的证书。如图:

(4)导入证书到信任的人和信任的CA机构里。步骤如下:
    1.导出证书文件,带密钥的pfx文件。使用mmc,保存到桌面位置(方便查找)。这里记住你制作证书的密码。要使用。
    2.导入证书到信任的人。使用任务-导入向导--选择证书文件,导入即可。
    3.导入证书到信任的机构,使用任务-导入向导--选择证书文件,导入即可。这个证书就被信任了。
【2】SSL证书设置:
   下面我们来设置SSL端口证书,这个步骤很重要。不然客户端无法查找到WCF服务。
【2.1】查询SSL证书设置:
     需要为使用的端口SSL注册证书。Windows Server 2003 或 Windows XP,则使用 HttpCfg.exe 工具。Windows Server 2003 中已安装该工具。下载该工具/Files/frank_xl/HttpcfgFrankXuLei.rar。如果运行的是 Windows Vista,则使用已安装的 Netsh.exe 工具。在Windows/System32目录下。运行此工具需要命令窗口切换到相应工具解压缩目录下,我直接放置到D盘根目录。方便查找。
     (1)在 Windows Server 2003 或 Windows XP 中,通过 queryssl 开关使用 HttpCfg.exe 工具查看当前端口配置,在命令窗口切换到HttpCfg在文件目录,你如下面代码:
        httpcfg query ssl
    (2)Vista:
       netsh http show sslcert

    查询SSL端口证书设置信息,如图:

【2.2】设置SSL证书:
    (1)在 Windows Server 2003 或 Windows XP:
       httpcfg set ssl -i 0.0.0.0:9001-h 9174185b2860b6d5ec3de133d5fcc4e1419b09e5
    (2)Vista:
       netsh http add sslcert ipport=0.0.0.0:9001 certhash=9174185b2860b6d5ec3de133d5fcc4e1419b09e5
  appid={111111111-2222-3333-4444-qqqqqqqqqqqqq} 。最后一个GUID.你可以随便编写一个。使用工具也可以。certhash 参数指定证书的指纹。ipport 参数指定 IP 地址和端口,功能类似于前述 Httpcfg.exe 工具的 -i 开关。appid 参数为可用于标识所属应用程序的 GUID。
 【2.3】删除SSL证书:
    (1)Windows Server 2003 和 Windows XP 中:
    httpcfg delete ssl -i 0.0.0.0:9001-h 9174185b2860b6d5ec3de133d5fcc4e1419b09e5
    (2)Vista:
    Netsh http delete sslcert ipport=0.0.0.0:9001。
【3】服务端配置:
    SSL端口证书配置完成以后,我们就要对WCF服务端进行配置,直接使用配置文件,这里简单。也可以使用代码来完成。
    (1)服务类定义:
     这里服务类就一个方法就是更具用户的name来打印调用时间,代码如下:

 //1.服务契约
    [ServiceContract(Namespace = "http://www.cnblogs.com/frank_xl/" )]
    public interface  IWCFService
    {
        //操作契约
        [OperationContract]
        string SayHello(string  name);

    }
    //2.服务类,继承接口。实现服务契约定义的操作
    public class  WCFService : IWCFService
    {
        //实现接口定义的方法
        public string SayHello(string  name)
        {
            Console.WriteLine("Hello! {0},Calling at {1} " , name,DateTime.Now.ToLongTimeString());
            return "Hello! " +  name;
        }
    }

    (2)传输安全模式配置:
       使用传输安全模式,采用客户端Basic身份验证策略。配置信息如下:

   <wsHttpBinding>
       <binding name="BindingConfiguration">
         <security mode="Transport">
           <transport clientCredentialType="Basic"/>
         </security>
       </binding>
     </wsHttpBinding>

   这个配置要应用到服务的终结点配置上。才会生效。
    (3)证书使用:
    在服务行为节点属性里配置使用证书WCFServerPK,这个服务器证书就是SSL证书。配置信息如下:

<serviceBehaviors>
         <behavior name="WCFService.WCFServiceBehavior">
           <serviceMetadata httpsGetEnabled="true" />
           <serviceDebug includeExceptionDetailInFaults="false" />
           <serviceCredentials>
               <serviceCertificate  storeName="My"  x509FindType="FindBySubjectName" findValue="WCFServerPK" storeLocation="LocalMachine"/>
           </serviceCredentials>
         </behavior>
       </serviceBehaviors>

【4】客户端配置:
    (1)引用元数据:
    因为服务的元数据交换节点启用了Https协议,我们在客户端项目添加元数据地址https://computer:9001/mex查找服务信息的时候,会提示SSL证书信息,界面如下:
 
    这个证明我们的服务端证书设置已经起作用,而且是可信的。现在我们点击Yes。继续就会添加完毕服务引用。过程和普通的添加服务元数据引用一样,会产生客户端相关代码文件。输入NameSpace,等待完成即可。  
(2)测试代码:
    等待代码生成结束,我们这里就直接生成客户端代理类的实例来调用服务进行测试。代码简单如下:


                WCFClient.ClientProxy.WCFServiceClient wcfServiceProxyHttp  = new WCFClient.ClientProxy.WCFServiceClient("WSHttpBinding_IWCFService" );
                //通过代理调用SayHello服务
                string sName = "Frank Xu Lei Transport Basic WSHttpBinding" ;
                string sResult = string .Empty;
                //设置Windows用户和密码
                wcfServiceProxy.ClientCredentials.UserName.UserName = "Administrator";
                wcfServiceProxy.ClientCredentials.UserName.Password = "00000000";
                Util.SetCertificatePolicy();//强制信任证书。重写验证服务端证书的方法。
                sResult =  wcfServiceProxyHttp.SayHello(sName);
                Console.WriteLine("Returned Result is {0}", sResult);

    (4)测试结果:
    启动宿主程序,然后启动客户端程序,稍作等待,就会看到宿主打印的消息,正确调用成功,如图:

【5】总结
    这个就是WCF传输安全模式之基本身份验证方式的实现过程,看完整个文章是不是感觉WCF的安全实现相对简单了不少,没有以前想象的困难?其实这个代码与第一节与WCF传输安全之无身份验证方式相比就是增加了一个客户端用户名和密码的验证过程。WCF安全机制都是依赖现有的安全体系和框架来完成的。掌握了规律以后就很容易学习了。
   (1) 这里的难点还是在于证书的制作和安装,以及SSL设置上,如果你第一节已经实践了这个代码,这里就会轻松许多。
   (2)不能使用配置来设置用户名和密码。必须使用客户打端代码进行扩充以设置用户名和密码。
   (3)给出今天的参考代码,供大家参考:
/Files/frank_xl/2.1.WCFServiceSecurityDemoFrankXuLei_Transport_Basic_WSHttpBinding.rar

   大家有问题可以留言讨论~我继续准备这个系列的文章。

参考文章:
0.WCF分布式安全开发实践(10):消息安全模式之自定义用户名密码:Message_UserNamePassword_WSHttpBinding
1.WCF分布式开发常见错误(22):The caller was not authenticated...如何在XP系统为WCF设置可信任的证书
2.WCF分布式开发常见错误(21):unable to open its IChannelListener.分发器未能打开侦听器
3.http://social.microsoft.com/Forums/zh-CN/wcfzhchs/thread/e1aa7bea-90d8-41e6-b91b-7addba44f8e3
4.WSE3.0构建Web服务安全(2):非对称加密、公钥、密钥、证书、签名的区别和联系以及X.509 证书的获得和管理,具体5.http://msdn.microsoft.com/library/chs/default.asp?url=/library/CHS/cptools/html/cpgrfcertificatecreationtoolmakecertexe.asp
6.Httpcfg 语法:http://technet.microsoft.com/zh-cn/library/cc781601(WS.10).aspx
7.安全套接字层(SSL)-安全套接字层(SSL)简介:http://www.hudong.com/wiki/%E5%AE%89%E5%85%A8%E5%A5%97%E6%8E%A5%E5%AD%97%E5%B1%82%28SSL%29#1
8.WCF分布式安全开发实践(1):传输安全模式之匿名客户端:Transport_None_WSHttpBinding
9.http://msdn.microsoft.com/en-us/library/ms733775.aspx

老徐的博客
【作      者】:Frank Xu Lei
【地      址】:http://www.cnblogs.com/frank_xl/
【中文论坛】:微软WCF中文技术论坛
【英文论坛】:微软WCF英文技术论坛

 

老徐FrankXuLei
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WCF分布式安全开发实践(1):传输安全模式之匿名客户端:Transport_None_WSHttpBinding
微软特邀讲师 老徐FrankXuLei 的专栏
08-13 1956
Posted on 2009-08-13 01:38 Frank Xu Lei 阅读(2163) 评论(65)  编辑 收藏 网摘 所属分类: WCF分布式安全开发实践, SOA and EAI <!--<rdf:RDF xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#"xmlns:dc="ht
WCF分布式安全开发实践(12):消息安全模式之自定义X509证书验证:Message_CustomX509Certificate_WSHttpBinding
微软特邀讲师 老徐FrankXuLei 的专栏
08-27 2112
Posted on 2009-08-27 23:49 Frank Xu Lei 阅读(1490) 评论(30)  编辑 收藏 网摘 所属分类: WCF分布式安全开发实践, SOA and EAI <!--<rdf:RDF xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#"xmlns:dc="ht
[WCF安全系列]绑定、安全模式与客户端凭证类型:BasicHttpBinding
weixin_34062329的博客
05-25 116
整个安全传输是在WCF的信道层进行的,而绑定是信道层的缔造者,所以终结点采用哪种类型的绑定以及对绑定的属性进行怎样的设置决定了信道层最终采用何种机制实现消息的安全传输。具体来说,我们可以通过绑定设置最终采用的安全模式,以及基于相应安全模式下进行认证和消息保护的行为。 一、Binding安全相关的应用编程接口 不同的绑定类型由于其采用的传输协议不同,应用的场景也各有侧重,很难提供一种统一的应用编...
WCF Could not establish trust relationship for the SSL/TLS secure channel with authority
weixin_30301449的博客
04-19 234
A custom remote certificate validation can be used to avoid the strict validation, instead, just make it trust anything. In your code, simply make a call to the static method SetCertificatePolicy() on...
WCF 安全性 之 自定义证书验证
weixin_33836874的博客
12-29 98
案例下载 http://download.csdn.net/detail/woxpp/4113172 客户端调用代码 通过代理类 代理生成 参见 http://www.cnblogs.com/woxpp/p/6232298.html X509证书创建 http://www.cnblogs.com/woxpp/p/6232325.html 服务端配置代码 <system...
WCF 安全性 四种身份验证方式
10-12
None身份验证模式是WCF中最基本身份验证方式,它意味着服务不执行任何客户端身份验证。这种模式主要用于测试环境或内部信任的网络环境中,因为在这种模式下,通信非常容易,但安全性极低。如果不进行任何身份验证...
WCF消息安全模式之自定义用户名密码
03-10
本文主要探讨了在消息安全模式下使用UserName客户端身份验证的机制,这种模式要求服务器具有一个有效的X.509证书来实现Transport Layer Security (TLS) 加密,并用于验证服务身份,同时客户端需要信任这个服务器证书...
Nginx集群之WCF分布式身份验证(支持Soap)含源代码
11-20
总的来说,这个压缩包提供的资源涵盖了从Nginx配置到WCF服务实现的全过程,包括身份验证、负载均衡和高并发处理,对于想要在.NET环境中搭建安全、高效的分布式服务架构的开发者来说,是一份非常宝贵的参考资料。...
消息安全身份验证 wcf
06-01
消息安全模式之UserName客户端身份验证 制作证书: 1:Microsoft Visual Studio 2008-->Visual Studio Tools-->Visual Studio 2008 命令提示行。输入:makecert -r -pe -n ...
Windows系统HTTP身份验证方法
weixin_34362790的博客
03-19 1896
Windows客户端尝试使用HTTP协议访问基于Web的资源时,会在客户端和服务器之间建立“对话”。换句话说,服务器告诉客户端,访问资源之前进行身份验证 ,并且服务器还告诉客户端哪些类型的认证机制可以接受通信。客户端使用它支持的身份验证方法进行访问,如果服务器可以接受,则建立会话。用户凭据(用户名和密码)将发送到服务器,这些凭证可能安全,也可能不安全。实际上,服务器可能根本...
WCF分布式安全开发实践(0):文章和代码结构规划介绍
微软特邀讲师 老徐FrankXuLei 的专栏
08-12 1648
Posted on 2009-08-12 00:47 Frank Xu Lei 阅读(1863) 评论(11)  编辑 收藏 网摘 所属分类: WCF分布式安全开发实践, SOA and EAI <!--<rdf:RDF xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#"xmlns:dc="ht
设定证书连接
weixin_30487317的博客
08-21 165
1.设置config文件 <binding name="basichttp1" closeTimeout="00:01:00" openTimeout="00:01:00" receiveTimeout="00:10:00" sendTimeout="00:01:00" allowCookies="false" ...
C# 基础连接已经关闭: 未能为 SSL/TLS 安全通道建立信任关系。
liushaoming
12-21 1万+
今天写程序的时候调用到一个第三方的DLL文件,本机调试一切都正常,但是程序不是到服务器以后一直提示一个BUG:"基础连接已经关闭: 未能为SSL/TLS 安全通道建立信任关系"。 后来把DLL文件进行反编译,发现是在获得请求的时候出错了。 引用 WebResponse response = WebRequest.Create("https://……").GetResponse(
基础连接已经关闭: 未能为 SSL/TLS 安全通道建立信任关系
kinglimy的专栏
08-14 2万+
基础连接已经关闭: 未能为 SSL/TLS 安全通道建立信任关系 问题分析:     Could not establish trust relationship for the SSL/TLS secure channel with authority 'computer:9001'. 不能和授权计算机为 SSL/TLS 安全通道建立信任关系.     实际原因和证书有很大关系,这里
远程服务器返回错误: (500) 内部服务器错误 (解决方案)
水滴石穿!学习小积累!
12-19 1万+
“/”应用程序中的服务器错误。 远程服务器返回错误: (500) 内部服务器错误。 说明: 执行当前 Web 请求期间,出现未经处理的异常。请检查堆栈跟踪信息,以了解有关该错误以及代码中导致错误的出处的详细信息。 异常详细信息: System.Net.WebException: 远程服务器返回错误: (500) 内部服务器错误。   -------------------------...
史上最牛最全的LINUX命令集
热门推荐
luoyanqing119的专栏
05-06 2万+
Unix ToolboxThis document is a collection of Unix/Linux/BSD commands and tasks which are useful for IT work or for advanced users. This is a practical guide with concise explanations, however the re
WCF BasicHttpBinding 安全解析(3)默认安全设置(IIS宿主)
weixin_34295316的博客
06-28 165
本节开始的实例采用IIS作为WCF宿主,使用的契约和实现和前面使用的仍然相同,下面我们构建两个站点,一个WCF服务宿主站点,一个服务测试站点。首先我们创建服务端,打开vs2010à文件à新建项目à选择WCF模板àWCF服务应用程序,如图11-31。 图11-31 创建WCF如无应用程序 删除默认添加的SVC文件和接口文件,添加接口文件IHelloService.cs和接口实现文件Hel...
WCF--初入江湖】11 安全
weixin_30445169的博客
07-05 122
11 安全 前言   【1】传输安全     传输安全模式     传输安全与绑定协议   【2】身份验证     身份验证分类     证书     示例:传输安全匿名客户端证书的使用 1. 传输安全   保证信息在传输过程中的安全.传输安全身份验证和授权的前提。   传输安全模式:     None:关闭了传输安全...
[WCF安全系列]绑定、安全模式与客户端凭证类型:WSHttpBinding与WSDualHttpBinding
weixin_33973609的博客
05-26 95
在上一篇文章中,我们详细地介绍了BasicHttpBinding具有怎样的安全模式的支持,已经在各种安全模式下分别可以采用怎样的客户端凭证。接下来我们来进一步分析另外三个基于HTTP的绑定,即WSHttpBinding、WS2007HttpBinding和WSDualHttpBinding。考虑到它们之间在安全设置方面的相关性,在这里我们先来介绍WSDualHttpBinding。 一、WSDu...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值