zoukankan      html  css  js  c++  java
  • 重温WCF之WCF传输安全(十三)(4)基于SSL的WCF对客户端采用证书验证(转)

    转载地址:http://www.cnblogs.com/lxblog/archive/2012/09/20/2695397.html

    前一篇我们演示了基于SSL的WCF 对客户端进行用户名和密码方式的认证,本篇我们演示一下服务器端对客户端采用X.509证书的认证方式是如何实现的。

    项目结构及服务代码和前两篇代码是基本一样的,为了大家看着方便,再从头到尾进行一下演示。

    一、制作证书:

    本次制作证书和第一篇略有不一样,主要为了演示证书的信任链关系,我们首先创建一个证书作为证书认证中心(CA)的根证书,我们还是利用MakeCert命令创建。在“开始”菜单中打开—>Microsoft Visual Studio 2010->Visual Studio 命令提示。

    输入:makecert -n "CN=LXCA" -r -sv D:LXCA.pvk D:LXCA.cer

    这时候会弹出 “创建私钥密码”对话框 和 “输入私钥密码”对话框,我们都输入密码“123456”。(这个密码的作用就是今后对证书进行导入,导出等操作的时候,输入的密码),命令提示成功后,这时候会在我的计算机D盘生成两个文件 LXCA.pvk  和 LXCA.cer。 

    这里说明一下,证书中三种常用的文件格式:.pvk 文件:私钥文件;.cer 公钥文件;还用一种扩展名为.pfx 文件是包含公钥和私钥的密钥交换文件。

    然后我们输入命令:makecert -n "CN=Lx-PC" -ic D:LXCA.cer -iv D:LXCA.pvk -sr LocalMachine -ss My -pe -sky exchange

    在弹出的 “输入私钥密码” 对话框中输入"123456"之后,提示创建成功。这就是我们的服务器端的证书(至于为什么输入我本机的计算机名CN=Lx-PC,我们前文有讲解),我们可以在运行MMC,在证书管理单元中看到该证书:

    我们双击我们创建的这个证书,打开 “详细信息” 标签可以查看到证书的指纹,我们记录下来,我的这个证书的指纹是:f5ccc32b77d5d12922e162a289c80c7e95d615ea

    下面和原来一样,将证书与计算机的端口进行绑定,在win7 下,依然使用 netsh 命令(netsh命令位于C:WindowsSystem32 下),我们运行该命令,并输入:

    http add sslcert ipport=0.0.0.0:9000 certhash=f5ccc32b77d5d12922e162a289c80c7e95d615ea appid={BFC5621F-EF33-4009-AD7E-51EDDAEC4321}

    这样我们的证书就和9000端口绑定好了,如何对这两个命令有疑问,请点击这里,对这两个命令和用法有详细的介绍。

    到这里,服务器端证书就创建好了,我们还需要将证书的颁发者 LXCA 纳入到 “受信任的根证书颁发结构” 中(这一步主要是为了解决客户端调用的时候产生的信任关系的问题,前文已有介绍)。我们 在MMC 证书管理单元中,在 ”受信任的根证书颁发机构” 节点右击,选择 “所有任务” -->“导入证书”,文件选择D盘的 LXCA.cer 即可,如下图:

    之后,我们需要创建两个客户端用到的证书,命令同制作服务器端证书一样:

    Makecert -n "CN=Client1-PC" -ic D:LXCA.cer -iv D:LXCA.pvk -sr CurrentUser -ss My -pe -sky exchange

    Makecert -n "CN=Client2-PC" -ic D:LXCA.cer -iv D:LXCA.pvk -sr CurrentUser -ss My -pe -sky exchange

    我们创建两个客户端证书Client1-PC 和Client2-PC ,并放到 “当前用户” 的存储区,因为在实际项目中,客户端的证书一般都存储在当前用户下,我们可以在MMC 证书管理单元中看到:

    并记录下两个证书的指纹(后面要用到):

    Client1-PC 指纹:4df6765861ca5b393127e4aea2d9dffc02ef7346
    Client2-PC 指纹:5cd0b75bd54092f022e9c48eb971879dcbdc29c2

    二、程序演示

    同样看一下项目结构,结构和服务代码和前面几篇用到的一样:

    1、  程序集 LxContracts(包括服务的数据契约Books.cs和操作契约IBookContract.cs)需要添加引用System.Runtime.Serialization 和System.ServiceModel:

    Books.cs 代码
    IBookContract.cs 代码

    2、  程序集LxServices(包括服务类BookService.cs),需要引用项目中的程序集LxContracts:

    BookService.cs 代码

    3、 程序集 Host_Server 是WCF服务的控制台宿主程序,需要引用 System.ServiceModel 和项目中LxContracts 程序集与 LxServices程序集:

    Program.cs 代码
    App.config 配置文件代码

    注意:<transport clientCredentialType="Certificate"/> 我们对客户端的认证方式修改成为了 Certificate

    4、我们为项目添加一个Client1 控制台客户端程序,在启动 Host_Server 的情况下,我们添加服务引用:“https://lx-pc:9000/mex” ,服务引用命名为:“WCF.BookSrv”,并点击 “高级” 将集合类型选择为System.Collections.Generic.List。服务引用添加好之后,我们编写调用代码如下:

    Program.cs 代码

     生成之后,启动服务器端 Host_Server,我们运行一下客户端Client1,报错,如下图所示:

     

    因为我们在服务器端对客户端的认证方式为 Certificate,因此我们的客户端必须要提供一个证书,才能正常访问我们的服务,我们需要修改一下客户端Client1的 app.config 配置文件,在终结点的行为中指定我们客户端的证书,如下:

    Client1 App.config 配置文件代码

    再次运行客户端Client1,发现服务调用成功:

    我们在解决方案中再添加一个Client2的控制台客户端,代码和Client1 一样,只不过配置文件中我们使用的是证书Client2-PC。我们运行Client2 发现服务也调用成功:

    既然这样的话,我们能不能像自定义用户名和密码认证一样,对证书也进行检验呢。比如我们让服务对客户端证书进行认证的时候,让持有证书 Client1-PC 的客户端 不能访问,但可以让持有证书 Client2-PC 的客户端访问呢,是可以的,下面我们对服务进行一下改进

    5、自定义客户端的认证:

    我们依然需要对 LxService 程序集添加引用 System.IdentityModel 和System.IdentityModel.Selectors ,然后在该程序集中添加一个自定义证书的验证类 CustomCertificateVerification 并使其继承 X509CertificateValidator ,重写父类的 Validate 方法。在这个方法中,根据证书的指纹来对客户端提供的证书进行检验。

    CustomCertificateVerification.cs 代码

     之后,我们修改一下宿主程序Host_Server 的App.config 配置文件,将原来的

    <serviceCredentials>
         <serviceCertificate storeName="My" x509FindType="FindBySubjectName" findValue="Lx-PC" storeLocation="LocalMachine"/>
    </serviceCredentials>

     修改为:

     <serviceCredentials>
           <serviceCertificate storeName="My" x509FindType="FindBySubjectName" findValue="Lx-PC" storeLocation="LocalMachine"/>
           <clientCertificate>
                <authentication certificateValidationMode="Custom"  customCertificateValidatorType="LxServices.CustomCertificateVerification,LxServices"/>
           </clientCertificate>
    </serviceCredentials>

     使我们自定义的证书验证类生效。

    我们重新生成一下代码,打开宿主程序Host_Server 的生成目录Bin/Debug,直接运行Host_Server.exe(不要调试运行,否则服务器端会抛出异常)。然后运行Client1 客户端,我们会发现 客户端 Client1 已经无法调用服务了:

    我们运行一下客户端Client2,发现服务依然能够调用成功:

    三、总结:

    基于SSL的WCF传输安全实践,我们基本演示完成了,分别包括的匿名客户端访问,自定义用户名和密码客户端验证,使用X.509证书方式的客户端验证,在学习这方面知识的时候,自己查找了很多资料,再此将这些开发的步骤和关键点记录下来和大家分享,不足之处,希望大家多多指正。

  • 相关阅读:
    (转)Android 升级 ADT 之后报错之一 case语句 .
    myeclipse CTRL+1功能
    (转)项目延期原因及应对之道
    shiro的使用2 灵活使用shiro的密码服务模块
    shiro的使用1 简单的认证
    最全的 eclipse web 项目目录结构以及Tomcat的各个目录的作用
    Eclipse导入git上的maven web项目 以及部署成功运行
    eclipse中怎么导入git库下载下来的web项目
    git和github的关系以及简单易懂的理解
    LINUX 怎么实现root和普通用户的切换及怎么更改root密码
  • 原文地址:https://www.cnblogs.com/yxlblogs/p/4274662.html
Copyright © 2011-2022 走看看