WCF,证书认证 - 常见错误和令人困惑的参数
我正在尝试设置WCF服务以使用证书来验证客户端。我已经阅读了很多关于如何创建证书的帖子,我已经能够这样做了(最后)。
我在运行Windows 2008 R2的服务器上安装证书颁发机构和证书。当我打开MMC证书管理单元时,我选择计算机帐户。它是否正确?我这样做是因为我的WCF服务将在Windows服务中运行,即使没有用户登录也会运行。但不可否认,我不知道这三个选项之间的区别是什么:
我的用户帐户
服务帐户
电脑帐号
管理单元加载后,我将Authority Cert导入受信任的根证书颁发机构。然后,我将证书导入Trusted Publishers。这样做时我没有遇到任何错误。当我执行权威证书和该权限签署的证书时,我不会对.pvk文件进行任何引用。我的理解是私钥嵌入在证书或授权证书中。以下是我用来创建每个证书的命令:
MakeCert.exe
-n “CN=InternalCA”
-r
-sv InternalCA.pvk InternalCA.cer
-cy authority
MakeCert.exe
-sk InternalWebService
-iv InternalCA.pvk
-n “CN=InternalWebService”
-ic InternalCA.cer InternalWebService.cer
-sr localmachine
-ss root
-sky exchange
-pe
没有找到相关结果
已邀请:
2 个回复
豹芜澈
/命令更容易。 接下来,如果仍然遇到错误,可以使用WCF跟踪进一步调试。此外,您还应该打开WCF邮件跟踪。如果WCF跟踪未提供足够的信息,您也可以跟踪.NET网络堆栈。 您可以通过在另一台计算机上的浏览器中访问您的服务URL来测试服务上的证书/ CA对是否正常工作。它应该首先声明证书无效。然后,将计算机上的CA导入受信任的根目录,然后再次单击服务URL。这次它应该像往常一样显示服务描述页面,没有任何警告。脖呐
并将证书(带私钥)放入个人商店。我在这看到: cc.ClientCredentials.ClientCertificate.SetCertificate( StoreLocation.CurrentUser, StoreName.My, X509FindType.FindBySubjectName, “contoso.com”); 所以无论你指向同等的地方,都要把证书放在那里。 您无需导入CA证书的私钥(您创建的第一个私钥)。这只是为了用MakeCert签署更多证书。您将需要在连接的客户端上获得该CA证书的副本(没有私钥!),否则客户端将无法验证InternalWebService证书。 您实际上并不需要在服务器计算机上本地使用CA证书,因为客户端只需要它。但它没有受到伤害,如果服务器上的任何东西连接到本地服务,则需要它。此外,它使得InternalWebService证书在MMC管理单元上看起来很好。您可以在受信任的根存储中尝试使用和不使用CA,您将看到我的意思。但无论如何,我不会将CA的私钥放入本地计算机商店。 从MMC管理单元检查InternalWebService的私钥权限(右键单击证书,然后单击任务,管理私钥...)如果您使用的服务不同于用户帐户导入,则肯定会赢得'尚未访问,你必须去访问它。否则服务将获得证书,但看起来证书没有私钥。 总结一下: 使用Admin权限运行以确保InternalWebService的私钥真正进入证书存储区。 (您将在MMC管理单元中看到证书上的一个小键,右键单击证书将有一个选项“管理私钥...”,如果没有附加私钥,则该选项不存在。) 将InternalWebService放在Web服务正在查找它的位置。我猜“个人”(a.k.a。“我的”),但你知道你的服务配置在哪里。无论是当前用户还是本地计算机,请查看您的配置。 授予对InternalWebService证书私钥的访问权限。 将CA证书(没有其私钥)放在“受信任的根”下,您也需要将其放在客户端上(或者让客户端在其末端接受“不受信任的证书”。)