我有一个WCF服务,它使用带有传输安全性的证书身份验证。该服务部署在Windows服务中,使用wshttp绑定。
当我尝试在调试模式下访问服务或在本地计算机上部署为服务后,我总是收到错误"使用客户端身份验证方案Anonymous"
禁止HTTP请求在打破了我的头一个星期之后,我偶然发现了微软的这篇知识库文章
http://support.microsoft.com/kb/2801679
KB 931125软件包安装了超过330个第三方根证书颁发机构。目前,Schannel安全程序包支持的受信任证书颁发机构列表的最大大小为16千字节(KB)。拥有大量第三方根证书颁发机构将超过16k的限制,您将遇到TLS / SSL通信问题。
我尝试了删除第三方受信任机构的解决方案,发现我甚至无法浏览Google或任何启用https的网站。
但解决方案有效,我能够调用我的WCF服务。
现在我已经从KB链接http://support.microsoft.com/kb/931125恢复了第三方受信任的权限,因为我无法访问许多网站,并且vpn,电子邮件不起作用。
还原后,我再次无法访问我的WCF服务。
解决此问题的最佳方法是什么?
我现在得到了解决方案,需要执行以下操作
答案 0 :(得分:0)
解决此问题的最佳方法是什么?
在.Net中,我们可以使用一个CA而不是整个商店的330+。 Juval Lowy的Programming WCF Services讨论了在第570页使用服务器的证书.Lowy讨论了验证以及IEndpointBehavior和X509ServiceCertificateAuthentication。
但是,我无法判断WCF在RemoteCertificateValidationCallback和SslStream中是否有ServicePointManager之类的内容?如果可用,请使用您需要的CA并从文件系统加载它:
static bool VerifyServerCertificate(object sender, X509Certificate certificate,
X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
try
{
String CA_FILE = "ca-cert.der";
X509Certificate2 ca = new X509Certificate2(CA_FILE);
X509Chain chain2 = new X509Chain();
chain2.ChainPolicy.ExtraStore.Add(ca);
// Check all properties
chain2.ChainPolicy.VerificationFlags = X509VerificationFlags.NoFlag;
// This setup does not have revocation information
chain2.ChainPolicy.RevocationMode = X509RevocationMode.NoCheck;
// Build the chain
chain2.Build(new X509Certificate2(certificate));
// Are there any failures from building the chain?
if (chain2.ChainStatus.Length == 0)
return true;
// If there is a status, verify the status is NoError
bool result = chain2.ChainStatus[0].Status == X509ChainStatusFlags.NoError;
Debug.Assert(result == true);
return result;
}
catch (Exception ex)
{
Console.WriteLine(ex);
}
return false;
}
默认情况下我不想出如何使用此链(chain2),这样就不需要回调了。也就是说,将它安装在ssl套接字上,连接就会正常工作"。而且我不想出如何安装它以便传递给回调。也就是说,我必须为每次调用回调构建链。我认为这些是.Net中的架构缺陷,但我可能会遗漏一些明显的东西。
类似的答案出现在Verify Remote Server X509Certificate using CA Certificate File等几个问题中。