有一个带有WCF客户端的服务器,它定期启动Internet上的通信,并在我们的客户端计算机上安装了许多WCF服务。 WCF服务和WCF客户端托管在Windows服务中,当前绑定是basicHttpBinding。
通过相互身份验证,通信必须通过https。公司订购了SSL证书,但不清楚是否可以在客户端计算机上安装此证书(因为WCF服务在那里)而不暴露私钥。绑定可以是basicHttpBinding或wcHttpBinding与传输或消息安全但使用证书。
是否可以在客户端计算机上安装服务端证书,在我们的服务器上安装客户端证书?是否应重新构建此体系结构,以便WCF服务在我们的服务器上,或者可以以某种方式保证当前的解决方案?
答案 0 :(得分:1)
所涉及的每台计算机都需要自己的证书。用于身份验证的证书值依赖于私钥的唯一性。私钥永远不会离开主机,并且证书可用于验证所述机器(因为它是世界上唯一拥有该私钥的机器)。一旦开始分发私钥的副本,安全性就会受到严重影响。
通常,此类部署依赖于PKI基础结构,该基础结构可以按需创建证书并使用可信密钥对其进行签名。
证书使用的产品/协议无关紧要。你使用什么样的WCF HTTP绑定不会产生问题。