WCF-service-Zertifikat und client-seitige endpoint-Identität - warum funktioniert es nicht?

[Update] - lege ich auch voll config-Dateien für die service, und für client (außerhalb des hier nicht überfluten das Thema)

Bin ich mit der situation so ziemlich identisch zu dem beschriebenen diese Frage, aber meine Frage ist etwas anders.

  • Ich bin mit NetTcpBinding mit Sicherheit
    eingestellt TransportWithMessageCredential
  • Ich bin mit Benutzernamen und Passwort
    Anmeldeinformationen gesichert durch ASP.NET
    Anbieter
  • Mein service ist selbst gehostet in Windows
    Service
  • Ich tun habe in meinem Endpunkt Verhalten
    angegebene Authentifizierung
    revocationMode="NoCheck"

Ist es erforderlich, dass der service bietet für die Authentifizierung ein Zertifikat selbst zu Kunden. Das ist OK, ich Tue gerade:

<serviceCertificate findValue="***"
                    storeLocation="CurrentUser"
                    storeName="My"
                    x509FindType="FindByThumbprint"/>

Nun habe ich etwas gedacht, nun würde der Kunde am Ende mit

<identity>
  <certificate encodedValue="encoded certificate"/>
</identity>

Und es wird in der Lage sein zu überprüfen-Dienst-Anmeldeinformationen zimmerreserviereung, ohne das Sie das installierte Zertifikat in den store auf der client-Maschine.

War ich überrascht lernen , obwohl ich die Anmeldedaten zum Zertifikat, WSDL macht

<Identity>
   <Dns>Foo</Dns>
</Identity>

Wieder, auf service kann ich-Identität zu CertificateReference und es Haken bis zu dem gleichen Zertifikat und dann WSDL veröffentlicht wird Identität als X509Certificate, aber wenn ich dem client ausgeführt werden, die Einstellung wird ignoriert, und ich am Ende mit Fehlermeldung:

System.ServiceModel.Sicherheit.SecurityNegotiationException:
Das X. 509-Zertifikat CN=xxx ist nicht in
Vertrauenswürdige Personen zu speichern. Die X. 509
Zertifikat CN=xxx-chain-Gebäude
fehlgeschlagen. Das Zertifikat, das verwendet wurde
hat eine Vertrauenskette, dass kann nicht sein
verifiziert. Das Zertifikat ersetzen oder
ändern Sie die certificateValidationMode.
Eine Zertifikatkette wurde zwar verarbeitet, aber
beendet in einem root-Zertifikat, die
nicht vertrauenswürdig ist, wird durch den trust provider.

Ist es ein Weg, um Kunden zu nutzen, dass der Wert aus der config und arbeiten, ohne Installation eines service-Zertifikats (oder der Wurzel) auf der client-Maschine?

[UPDATE]
Während der Einstellung certificateValidationMode auf keine Ausnahme machen gehen Sie Weg ist es nicht akzeptabel, die Lösung aus der Sicht der Sicherheit.

Macht es der client nur erkennen, dass es erhalten "einige" - Zertifikat, ohne sich in details. Dies stellt die gesamte Palette von " man in the middle Angriffe möglich. Es wird noch nicht überprüfen, die Informationen, die durch (angeblichen) Dienstes gegen das Zertifikat anschließend in die config.

InformationsquelleAutor Krzysztof Kozmic | 2009-11-09

  1. 4

    Lösung Skizze:

    1) Definieren und registrieren Sie eine benutzerdefinierte X509CertificateValidator auf dem client

    2) In der Überprüfen - Methode, vergleichen Sie sich das gegebene Zertifikat mit dem eine Gegenwart, in der client - EndpointAddress.Identität Eigenschaft. Das Objekt verwiesen wird, die diese Eigenschaft haben sollte, die X509CertificateEndpointIdentity genauen Typ.

    Ich nicht testen, diese Lösung, aber es macht perfekt Sinn für mich.

    HTH
    Pedro

    Dies ist, was ich am Ende tun. Ich habe aber eine Frage - warum hat es nicht funktioniert out of the box? Wenn der client verfügt über alle erforderlichen Informationen ein, und erhält einige Zertifikat von einem Dienst, ist es die natürlichste Sache zu tun zu validieren, die eine gegen die andere. Warum nicht, WCF, dies zu tun?
    Vermutung: aus Gründen der Sicherheit. Mit der vorgeschlagenen Lösung, die WSDL importieren, die Prozess-Sicherheit wird sogar noch Kritischer, da keine zusätzlichen Zertifikats-Verifikation wird durchgeführt, wenn die Kommunikation mit dem service.
    Ich habe gerade angefangen, ein Kopfgeld auf meine eigene Frage, die scheint ähnlich zu dem, was du hier sagst. Wenn Sie buchstabieren können, die Lösung in mehr detail gibt, würde ich sehr schätzen! stackoverflow.com/questions/4579666/...

    InformationsquelleAutor Pedro Felix

  2. 2

    [UPDATE] Während der Einstellung
    certificateValidationMode auf none wird
    Ausnahme machen gehen Sie Weg, es ist
    inakzeptable Lösung von Sicherheits -
    Sicht.

    Macht es den client nur bestätigen
    dass es erhalten "einige" - Zertifikat,
    ohne sich in details. Diese
    macht ganze Palette der Mann in der Mitte
    Angriffe möglich. Es will immer noch nicht
    überprüfen Sie die Informationen, die durch
    (angeblichen) Dienstes gegen die
    Zertifikat anschließend in die config.

    Sind Sie falsch. Dies tun perfekt. Das ist eigentlich das, was Sie wollen, das Zertifikat zu nicht validiert werden.
    Alles, was Sie brauchen, ist, um die Identität des Endpunkts, auf dem client

    <identity>
  <certificate encodedValue="encoded certificate"/>
</identity>

    Wenn der client eine Verbindung zum server WCF vergleichen Sie die beiden Zertifikate und eine Ausnahme werfen, wenn Sie nicht übereinstimmen. Und Sie sind absolut sicher.

    Verwenden Sie eine benutzerdefinierte validator-wie Pedro Felix vorgeschlagen, ist völlig unnötig in deinem Fall. Das ist genau das, was die Endpunkt-Identität ist.

    Dies ist irreführend - Einstellung certificateValidationMode auf None bedeutet, Sie können eine beliebige encodedValue und es werden nicht überprüft.

    InformationsquelleAutor Zeratul

  3. 2

    Sorry, ich kann nicht kommentieren auf anderen Antworten.

    Ich gerade getestet .NET 4.0 und ich kann bestätigen, dass die "Zeratul"'s Antwort ist richtig. Explizit Einstellungen die Identität des Dienstes entweder in der config oder programmgesteuert ist ausreichend für die server-Authentifizierung. Es gibt keine Notwendigkeit zu validieren Zertifikat durch andere Mittel (d.h. Sie können "certificateValidationMode" , "None"), da Sie die letztendliche Validierung der Methode - Vergleich der Fingerabdruck des Zertifikats.

    @AlexDrenea

    "serviceCertificate" ist nicht für die Validierung verwendet. Es wird verwendet, mit message security, um Nachrichten zu verschlüsseln, bevor Sie an den server gesendet werden. Finden Sie in der Dokumentation von Microsoft dazu:

    http://msdn.microsoft.com/en-us/library/ms731782.aspx

    InformationsquelleAutor ItsMe

  4. 1

    Dies ist ein zusätzlicher Kommentar zu meiner vorherigen Antwort. Leider kann ich nicht Kommentar Antworten.

    Zudem Sie nicht müssen alle Identität auf dem server. Vergessen Sie, was WSDL sagt, Sie über die Identität des Servers. Die Identität eines remote-service-Endpunkt ist, entscheidet der Kunde während der Laufzeit. Wenn der server SSL verwendet, dann hat er mehrere Identitäten: der common name des Zertifikats (D. H. ein DNS-Identität), ein Zertifikat Identität und ein RSA-Identität (nicht sicher über die Letzte). Daher können Sie überprüfen Sie die server-Identität, die von jedem dieser Kriterien (oder mehrere).

    InformationsquelleAutor Zeratul

  5. 0

    Du bist corect und fast fertig konfigurieren der client-Konfiguration. Ihnen fehlt eine Letzte Sache, die (wie in der Fehlermeldung genannten Beschreibung) : Sie müssen die revocationMode zu NoCheck in der Konfiguration: 

     <behaviors>
  <endpointBehaviors>
    <behavior name="SecureMessageUserName">
      <clientCredentials>
         <serviceCertificate>
            <authentication revocationMode="NoCheck"/>
         </serviceCertificate>
      </clientCredentials>
    </behavior>
  </endpointBehaviors>
 </behaviors>

    Wenn Sie weitere Einzelheiten benötigen, lasst es mich einfach wissen und ich werde eine volle Arbeits-client-Konfiguration.

    Bearbeiten sorry für die Verspätung

    Sollten Sie auch hinzufügen, die noCheck in der server-Konfiguration :

    <behavior name="X509SecureBehavior">
          <serviceMetadata httpGetEnabled="true" />
          <serviceDebug includeExceptionDetailInFaults="true" />
          <serviceCredentials>
            <serviceCertificate storeName="My" storeLocation="CurrentUser" x509FindType="FindByThumbprint" findValue="aaaa" />
            <clientCertificate>
              <authentication certificateValidationMode="None" revocationMode="NoCheck" />
            </clientCertificate>
          </serviceCredentials>
        </behavior>

    Auch ich habe nicht das Zertifikat der Referenz in der Endpunkt-definition.

    Sorry, ich vergaß zu erwähnen, dass ich diese option festgelegt. Ich aktualisierte die Frage entsprechend. Eh, das Zertifikat scheint, um ignoriert zu werden, unabhängig davon, was ich hier angeben.
    könnte Sie post ein full-configuration-Datei ? oder der wesentliche Teil davon ?
    Sicher, ich kann, ich verlinkt Sie, denn Sie sind ziemlich groß, und ich will nicht zu verschrecken könnten hilfreich sein, den Menschen durch ertrinken Sie in Tonnen von xml
    Ich bin nicht nörgeln, aber diese Lösung ist nicht schneiden Sie es für mich 🙁
    Ich bin mir nicht sicher, ob ich verstehe wht meinst du? Es doensn nicht funktionieren oder Sie können nicht Bearbeiten Sie die server-config aus anderen Gründen?

    InformationsquelleAutor AlexDrenea

Schreibe einen Kommentar