WCF - Czy certyfikat usługi jest potrzebny do uwierzytelnienia klientów?

Question

myślę, że istnieje luka w moim mentalnym modelu uwierzytelniania WCF, mając nadzieję, że ktoś może mi pomóc wypełnić go.

Więc tworzę usług WCF i chciałby mieć klienci uwierzytelniania przy użyciu certyfikatów i wiadomości- poziom bezpieczeństwa. Chciałbym, aby usługa sprawdziła te atrybuty za pomocą zaufania łańcucha, tak aby nie potrzebować każdego certyfikatu klienta zainstalowanego w usłudze. Na razie nie interesuje mnie uwierzytelnianie usługi dla klienta.

Oto moje rozumienie tego, co jest potrzebne, aby to zrobić:

1. Klient potrzebuje certyfikat podpisany przez urząd certyfikacji, który jest zaufany na stronie serwisu.
2. Usługa wymaga zainstalowanej listy CRL dla tego urzędu certyfikacji.
3. Konfiguracja usługi powinna mieć włączone zabezpieczenia wiadomości, określić clientCredentialType = "Certificate" i powiązać zaufanie dla sprawdzania poprawności certyfikatu klienta.
4. Konfiguracja klienta powinna mieć włączoną ochronę wiadomości, określić clientCredentialType = "Certyfikat" oraz zachowanie punktu końcowego, które mówi, jak znaleźć certyfikat klienta w magazynie.

Klient wysyła żądanie do serwisu, wysyłając jego certyfikat. Usługa widzi, że certyfikat klienta jest podpisany przez zaufany urząd certyfikacji i przekazuje żądanie.

Teraz wszystkie opisy tego procesu, które znalazłem, obejmują również etap tworzenia certyfikatu dla usługi. Żadne z nich nie wyjaśnia, po co to jest, co mnie rzuca. Dlaczego potrzebny jest certyfikat usługi, jeśli chcę tylko uwierzytelnić klientów?

Answer 1

Masz rację. Teoretycznie nie jest wymagany certyfikat serwera, w praktyce wcf wymusza na nim użycie. Dobrą wiadomością jest to, że należy użyć atrapowego certyfikatu dla serwera, a także ustawić ProtectionLevel na SignOnly. Proponuję przeczytać this article, która mówi o podobnym scenariuszu i jest w większości trafna.