在Azure Web角色中为WCF端点添加其他SSL行为

时间:2014-03-13 18:54:11

标签: c# web-services wcf azure ssl

我们的Azure应用程序已经使用https端口443和我们的站点证书,我们在此webrole中有一个WCF服务,其中有一个使用我们的cert进行身份验证的https端点(单向ssl),同样的服务需要一个额外的https端点使用我们的证书和第三方证书支持双向认证。我们上传了证书,更新了服务定义文件,并添加了一个我们希望可以工作的端点,但在测试中我们收到错误:服务'SslRequireCert'的SSL设置与IIS的设置不匹配'无”。

所以有效的端点是:https://environemnt.application.com/Services/Service.svc 生成错误的端点:https://environment.application.com/Services/Service.svc/twa

关键要求是在上面的新端点上是https,端口443,而不改变角色其余部分的SSL行为,我看到了更改IIS配置或使用角色编辑器添加的条目Https输入端点,但由于我们已经使用我们的站点证书在端口443上有一个Https Input端点,我不想改变/影响整个角色。

如果它有用,则该服务是使用Mtom编码的肥皂1.2消息的WCF服务

以下是我们输入的新值,还需要什么?

<behaviors>
 <serviceBehaviors>
   <behavior name="SSLServiceBehavior">
     <serviceMetadata httpsGetEnabled="true" />
     <serviceDebug includeExceptionDetailInFaults="true" />
     <dataContractSerializer maxItemsInObjectGraph="2147483647" />
   </behavior>
 </serviceBehaviors>
 <endpointBehaviors>
  <behavior name="OneWayAuthEndpointBehavior">
  </behavior>
  <behavior name="TwoWayAuthEndpointBehavior">
      <endpointDiscovery enabled="true"></endpointDiscovery>
      <clientCredentials>
        <clientCertificate findValue="thumprint..." storeLocation="LocalMachine" storeName="CertificateAuthority" x509FindType="FindByThumbprint"  />
      </clientCredentials>
    </behavior>
 </endpointBehaviors>
</behaviors>
<services>
 <service behaviorConfiguration="SSLServiceBehavior" name="Service">
  <endpoint address="" behaviorConfiguration="OneWayAuthEndpointBehavior"binding="wsHttpBinding" bindingConfiguration="HttpsMtomOneWay" contract="ITestService" />
  <endpoint address="twa" behaviorConfiguration="TwoWayAuthEndpointBehavior" binding="wsHttpBinding" bindingConfiguration="HttpsMtomTwoWay" contract="ITestService"/>
</services>
<bindings>
 <wsHttpBinding>
  <binding name="HttpsMtomOneWay" messageEncoding="Mtom">
    <security mode="Transport">
      <transport clientCredentialType="None" />
    </security>
  </binding>
  <binding name="HttpsMtomTwoWay" messageEncoding="Mtom">
    <security mode="Transport">
      <transport clientCredentialType="Certificate" />
    </security>
  </binding>
 </wsHttpBinding>
</bindings>

非常感谢

1 个答案:

答案 0 :(得分:0)

通过以下步骤修复:

  • 为服务行为添加了serviceCredentials.serviceCertificate(我们的证书的证书详细信息)
  • 消除了端点行为定义
  • 将HttpsMtomTwoWay绑定更改为securityMode = Message

现在消息处理程序处理身份验证交换和外部证书验证,然后传递到传输端点,我们不需要搞乱站点范围的SSL或端点设置。经过多次第三方的测试和验证。

相关问题
最新问题