Question

在讨论这个问题之前，让我先解释一下我在寻找什么，以及我做了什么。

我创建了一个自签名的X509证书，一个用于客户端，另一个用于服务器。我创建了一个WCF服务并配置了Web.Config以使用证书。我甚至配置了Client Web.Config来根据基于证书的安全性发出请求。自我托管一切正常。

然而，当我在IIS上部署服务时，我遇到了很多问题，为此我一直在寻找解决方案而没有任何问题。

如果有人可以为此提供可能的解决方案，那就太好了。

以下是服务器和客户端的配置文件。

服务器（WCF服务）Web.config：

   <configuration>
  <appSettings />
  <connectionStrings />
  <system.web>
    <compilation debug="true" targetFramework="4.0" />
    <authentication mode="Windows" />
  </system.web>
  <system.web.extensions>
    <scripting>
      <webServices/>
    </scripting>
  </system.web.extensions>
  <system.serviceModel>
    <bindings>
      <wsHttpBinding>
        <binding name="wsHttpEndpointBinding">
          <security>
            <message clientCredentialType="Certificate" />
          </security>
        </binding>
      </wsHttpBinding>
    </bindings>
    <services>
      <service name="WCFServiceCertificate.Service1" behaviorConfiguration="WCFServiceCertificate.Service1Behavior">
        <endpoint address="https://***.***.**.**:91" binding="wsHttpBinding" bindingConfiguration="wsHttpEndpointBinding" contract="WCFServiceCertificate.IService1">
          <identity>
            <dns value="localhost" />
          </identity>
        </endpoint>
        <endpoint address="mex" binding="mexHttpBinding" contract="IMetadataExchange" />
      </service>
    </services>
    <behaviors>
      <serviceBehaviors>
        <behavior name="WCFServiceCertificate.Service1Behavior">
          <serviceMetadata httpGetEnabled="true" />
          <serviceDebug includeExceptionDetailInFaults="false" />
          <serviceCredentials>
            <clientCertificate>
              <authentication certificateValidationMode="PeerTrust" />
            </clientCertificate>
            <serviceCertificate findValue="WCfServer" storeLocation="LocalMachine" storeName="My" x509FindType="FindBySubjectName" />
          </serviceCredentials>
        </behavior>
      </serviceBehaviors>
    </behaviors>
  </system.serviceModel>
  <system.webServer>
    <directoryBrowse enabled="true" />
  </system.webServer>
</configuration>

客户端配置：

  <?xml version="1.0"?>
<configuration>
  <appSettings/>
  <connectionStrings/>
  <system.web>
    <compilation debug="false" targetFramework="4.0"/>
    <authentication mode="Windows"/>
    <pages controlRenderingCompatibilityVersion="3.5" clientIDMode="AutoID"/>
  </system.web>
  <system.serviceModel>
    <bindings>
      <wsHttpBinding>
        <binding name="WSHttpBinding_IService1" closeTimeout="00:01:00"
          openTimeout="00:01:00" receiveTimeout="00:10:00" sendTimeout="00:01:00"
          bypassProxyOnLocal="false" transactionFlow="false" hostNameComparisonMode="StrongWildcard"
          maxBufferPoolSize="524288" maxReceivedMessageSize="65536" messageEncoding="Text"
          textEncoding="utf-8" useDefaultWebProxy="true" allowCookies="false">
          <readerQuotas maxDepth="32" maxStringContentLength="8192" maxArrayLength="16384"
            maxBytesPerRead="4096" maxNameTableCharCount="16384" />
          <reliableSession ordered="true" inactivityTimeout="00:10:00"
            enabled="false" />
          <security mode="Message">
            <transport clientCredentialType="Windows" proxyCredentialType="None"
              realm="" />
            <message clientCredentialType="Certificate" negotiateServiceCredential="true"
              algorithmSuite="Default" />
          </security>
        </binding>
      </wsHttpBinding>
    </bindings>
    <client>
      <endpoint address="http://localhost:1387/Service1.svc" binding="wsHttpBinding"
        bindingConfiguration="WSHttpBinding_IService1" contract="ServiceReference1.IService1"
        name="WSHttpBinding_IService1" behaviorConfiguration="CustomBehavior">
        <identity>
          <dns value="WCfServer" />
        </identity>
      </endpoint>
    </client>
    <behaviors>
      <endpointBehaviors>
        <behavior name="CustomBehavior">
          <clientCredentials>
            <clientCertificate findValue="WcfClient" x509FindType="FindBySubjectName" storeLocation="CurrentUser" storeName="My"/>
            <serviceCertificate>
              <authentication certificateValidationMode="PeerTrust"/>
            </serviceCertificate>
          </clientCredentials>
        </behavior>
      </endpointBehaviors>
    </behaviors>
  </system.serviceModel>
</configuration>

浏览服务时OutPut ScreenShot。

enter image description here 浏览器

任何帮助都是适用的...
先谢谢你们...

Answer 1

您需要在受信任的证书颁发机构下创建客户端证书和服务器证书。客户端和服务器都必须信任创建证书的证书颁发机构如果您没有CA或资金从公共CA购买证书，您可以设置一个有效的本地环境：
- 创建根CA证书：rootCA
- 在服务器和客户端上的受信任根证书存储库中安装rootCA（pub密钥） - 从rootCA创建https证书并将其安装在IIS上 - 创建客户端证书并将其安装在客户端

从上一个关于stackoverflow Using makecert for Development SSL的问题开始我写了一步一步的指南：
https://docs.google.com/document/d/1s0DpnFhwhBamYfwZUGLJokDJPDSzGYO5Ct2hxzq4SA4/edit?usp=sharing

Answer 2

谢谢你们的支持唯一的问题是证书不是在受信任的安全性下创建的，它是一个普通的自签名证书，浏览器不接受。

在受信任的安全性下创建证书时问题已解决。配置设置很好。

最后感谢@Fabrizio的巨大帮助。

为IIS上托管的WCF服务实现SelfSigned X509证书

2 个答案: