如果SSL由负载均衡器处理,我是否仍需要在WCF serviceCertificate节点中对其进行配置?我的方案是使用消息级安全性。如果有人能解释如何使用wcf和ssl进行负载均衡,那将非常好。
答案 0 :(得分:4)
如果您想使用邮件安全性,那么每条邮件都会被加密并单独签名 - 没有安全连接,负载均衡器的行为与任何其他HTTP传输一样。 Loadbalancer不了解安全性,也不需要证书。
有两个陷阱:
答案 1 :(得分:4)
如果邮件本身未签名/加密,则WCF要求安全令牌通过安全传输传递。由于您的Big-IP和您的个人Web服务器之间的流量是HTTP,因此您需要一种方法,让您知道在客户端和Big-IP之间安全的安全令牌仍然会传递到您的服务器场。根据您使用的WCF版本,有几种方法可以做到这一点:
如果您正在使用WCF 4.0,则可以创建自定义绑定并在内置SecurityBindingElement上设置AllowInsecureTransport属性,以表示您不关心传输是否安全
如果您使用的是WCF 3.5,则必须在服务器端使用自定义TransportSecurityBindingElement“谎言”安全性。您可以阅读关于此here的旧帖子。
FWIW,他们为3.5 SP1创建a hotfix release,将AllowInsecureTransport添加到该版本,但我不知道贵公司是否允许您安装自定义修补程序。
答案 2 :(得分:0)
没有。不要为此烦恼。你将处于一个受伤的世界。只需在每台机器上安装证书即可。我们最近经历了这场惨败。 WCF不值得它认为需要SSL的努力,但看到它没有它。如果您想在负载均衡器上执行所有SSL,请查看openrasta或其他内容。 #microsoftfail