WCF服务中的自定义客户端证书和用户名验证

Question

我的特殊问题是这样的：

• 我们目前正在运行一组服务，要求客户端在调用服务时提供用户名和密码作为身份验证。

• 我们希望在这些服务上实施PKI基础设施，但我们的一些合作伙伴将使用更长的时间来容纳这个新基础设施。

• 作为第一步，我们需要一些合作伙伴的客户证书。将需要客户端证书（除了用户名和密码）才能访问我们服务器上的数据，而对于其他用户，只需要用户名和密码。

为了解决这个问题，我试图在WCF中为用户名/密码认证（使用UserNamePasswordValidator）和客户端证书（使用X509CertificateValidator）实现自定义验证器。用户名/密码验证程序将验证这些凭据是否对我们的数据库，而客户端证书验证程序将检查请求是否来自我们需要证书的客户端，如果是，请验证是否提供了有效的客户端证书。我无法配置WCF以便它使用这两个验证器。

服务器上的我的WCF配置目前设置如下：

<behaviors>
  <serviceBehaviors>
    <behavior name="MyServiceBehavior">
      <serviceMetadata httpsGetEnabled="true" policyVersion="Policy15" />
      <serviceDebug includeExceptionDetailInFaults="true" />
      <serviceCredentials>
        <clientCertificate>
          <authentication customCertificateValidatorType="MyWS.Security.MyServicesCertificateValidator, MyWS"
            certificateValidationMode="Custom" revocationMode="NoCheck" />
        </clientCertificate>
        <userNameAuthentication userNamePasswordValidationMode="Custom"
          customUserNamePasswordValidatorType="MyWS.Security.MyServicesUsernameValidator, MyWS" />
      </serviceCredentials>
    </behavior>
  </serviceBehaviors>
</behaviors>
<serviceHostingEnvironment multipleSiteBindingsEnabled="true"/>
<bindings>
  <basicHttpBinding>
    <binding name="MySoapBinding">
      <security mode="TransportWithMessageCredential">
        <transport clientCredentialType="Certificate" />
        <message clientCredentialType="UserName" />
      </security>
    </binding>
  </basicHttpBinding>
</bindings>
<services>
  <service behaviorConfiguration="MyServiceBehavior" name="MyWS.Services.TheService">
    <endpoint address="" binding="basicHttpBinding" bindingConfiguration="MySoapBinding" name="TheService" bindingNamespace="https://services.my/TheService" contract="MyWS.Interfaces.Service.ITheService" />
    <host>
      <baseAddresses>
        <add baseAddress="https://localhost:4434/MyWS/TheService"/>
      </baseAddresses>
    </host>
  </service>
</services>

据我所知，此配置无效，因为我无法在传输层使用customCertificateValidatorType（因为IIS在此处涉及WCF之前检查证书），但我看不出我如何能够同时组合customCertificateValidatorType和customUserNamePasswordValidatorType作为消息层的凭证类型。

我已经实现了一个消息检查器，并且可能能够以某种方式使用OperationContext解决问题（如下面链接中所示），但是我还没有看到这样做的方法...

http://social.msdn.microsoft.com/Forums/en/wcf/thread/b6ab8b58-516b-41d4-bb0e-75b4baf92716

我想我可能会尝试实现与WCF工作方式不兼容的东西，但如果有人知道如何解决这个问题，我很乐意收到您对此的反馈！

Answer 1

我认为我已经找到了解决问题的方法，感谢@ ladislav-mrnka在他的回答中提供的宝贵意见。我意识到有必要提供两个端点来配置不同的需求，我还在配置服务时了解了支持令牌的可能性。

我在MSDN找到了一个关于supporting tokens的链接，按照这个方法我已经在服务器上使用以下自定义绑定实现了端点（我通过代码切换到配置。不确定是否可以设置在web.config中也是如此。）

private static Binding CreateMultiFactorAuthenticationBinding()
{
    var httpsTransport = new HttpsTransportBindingElement();

    // The message security binding element will be configured to require 2 tokens:
    // 1) A username-password encrypted with the service token
    // 2) A client certificate used to sign the message

    // Create symmetric security binding element with encrypted username-password token.
    // Symmetric key is encrypted with server certificate.
    var messageSecurity = SecurityBindingElement.CreateUserNameForCertificateBindingElement();
    messageSecurity.AllowInsecureTransport = false;

    // Require client certificate as endorsing supporting token for all requests from client to server
    var clientX509SupportingTokenParameters = new X509SecurityTokenParameters
                                                    {
                                                        InclusionMode =
                                                            SecurityTokenInclusionMode.AlwaysToRecipient
                                                    };
    messageSecurity.EndpointSupportingTokenParameters.Endorsing.Add(clientX509SupportingTokenParameters);

    return new CustomBinding(messageSecurity, httpsTransport);
}

此绑定创建SymmetricSecurityBindingElement，其中对称密钥（使用服务器证书加密）用于加密邮件头中的用户名/密码安全令牌以及邮件正文本身。

此外，还添加了X509安全令牌作为签名，支持绑定令牌。此令牌配置为始终包含在客户端对服务器的请求中。

此自定义绑定随后用于配置需要此绑定的端点的新WCF服务。我在Castle Windsor使用WcfFacility来配置服务。

此代码执行以下操作：

• 设置服务证书
• 将客户端证书的验证模式设置为链信任，以便传入的客户端证书必须由服务器存储中受信任的根证书颁发机构颁发
• 为用户名/密码凭据和客户端证书添加自定义验证器

//// Registering WCF-services
var returnFaults = new ServiceDebugBehavior {IncludeExceptionDetailInFaults = true};
var metaData = new ServiceMetadataBehavior {HttpsGetEnabled = true};

var serviceCredentials = new ServiceCredentials();

// Configure service sertificate
serviceCredentials.ServiceCertificate.SetCertificate(
    StoreLocation.LocalMachine, 
    StoreName.My, 
    X509FindType.FindBySubjectName,
    "ServerCertificate");

// Configure client certificate authentication mode
serviceCredentials.ClientCertificate.Authentication.CertificateValidationMode = X509CertificateValidationMode.ChainTrust;

// Add custom username-password validator
serviceCredentials.UserNameAuthentication.UserNamePasswordValidationMode =
    UserNamePasswordValidationMode.Custom;
serviceCredentials.UserNameAuthentication.CustomUserNamePasswordValidator =
    _container.Resolve<MyServicesUsernameValidator>();

// Add custom certificate validator
serviceCredentials.ClientCertificate.Authentication.CertificateValidationMode =
    X509CertificateValidationMode.Custom;
serviceCredentials.ClientCertificate.Authentication.CustomCertificateValidator =
    _container.Resolve<MyServicesCertificateValidator>();

var serviceModel = new DefaultServiceModel();

serviceModel.AddEndpoints(
    WcfEndpoint.ForContract<IMyContract>().BoundTo(CreateMultiFactorAuthenticationBinding()));
serviceModel.BaseAddresses.Add(new Uri("https://server.com/MyServiceImplementation.svc"));

serviceModel.AddExtensions(serviceCredentials);
serviceModel.AddExtensions(metaData);

_container.AddFacility<WcfFacility>(f => f.CloseTimeout = TimeSpan.Zero)
    .Register(Component.For<IMyContract>()
                    .ImplementedBy<MyServiceImplementation>()
                    .AsWcfService(serviceModel),
                Component.For<IServiceBehavior>().Instance(returnFaults));

MyServicesUsernameValidator继承UserNamePasswordValidator，MyServicesCertificateValidator继承X509CertificateValidator。两者都会覆盖相应的Validate方法。

这似乎解决了我的特殊问题...希望它能解决你的问题！ ：）

Answer 2

在配置中使用开箱即用的绑定无法定义。即使自定义绑定也不支持足够的基础结构来在配置中定义此类绑定。

首先，你肯定需要两个端点。一个将仅用于具有用户名/密码的客户端。此端点可以配置一些常见绑定，期望具有UserName客户端凭据的Message安全性或具有消息凭据的传输安全性。第二个端点将用于更复杂的验证。此端点需要在代码中定义的新绑定。此绑定必须使用：

• 不对称安全绑定元素（共同证书身份验证）
• X.509安全令牌作为主要安全令牌
• 用户名安全令牌作为支持安全令牌

这是我在与类似服务进行通信时必须使用的绑定示例：

  Custom binding = new CustomBinding();
  var userNameToken = new UserNameSecurityTokenParameters();
  userNameToken.InclusionMode = SecurityTokenInclusionMode.AlwaysToRecipient;

  var securityElement = new AsymmetricSecurityBindingElement();
  securityElement.IncludeTimestamp = true;
  securityElement.RecipientTokenParameters = new X509SecurityTokenParameters(X509KeyIdentifierClauseType.SubjectKeyIdentifier, SecurityTokenInclusionMode.Never);
  securityElement.InitiatorTokenParameters = new X509SecurityTokenParameters(X509KeyIdentifierClauseType.SubjectKeyIdentifier, SecurityTokenInclusionMode.AlwaysToRecipient);
  securityElement.DefaultAlgorithmSuite = SecurityAlgorithmSuite.Basic256;
  securityElement.SecurityHeaderLayout = SecurityHeaderLayout.Strict;
  securityElement.SetKeyDerivation(false);
  securityElement.EndpointSupportingTokenParameters.SignedEncrypted.Add(userNameToken);
  securityElement.MessageProtectionOrder = MessageProtectionOrder.EncryptBeforeSign;
  securityElement.MessageSecurityVersion = MessageSecurityVersion.WSSecurity11WSTrustFebruary2005WSSecureConversationFebruary2005WSSecurityPolicy11;
  binding.Elements.Add(securityElement);

  var encodingElement = new TextMessageEncodingBindingElement();
  encodingElement.MessageVersion = MessageVersion.Soap12WSAddressingAugust2004;
  binding.Elements.Add(encodingElement);

  var httpElement = new HttpTransportBindingElement();
  httpElement.UseDefaultWebProxy = true;
  binding.Elements.Add(httpElement); 

此示例使用代码中定义的CustomBinding。如果要在配置中使用它，则必须创建全新的绑定和绑定扩展，并在配置文件中注册该扩展。

即便如此，我也不确定是否会使用两个验证器 - 我将其用作服务的客户端。重点是请求只能有一个主令牌，默认的WCF基础架构可能只选择一个来验证，但这样的逻辑也可以被替换。