我们有Windows服务和tcp绑定。它具有传输安全模式,客户端凭据类型为Windows。服务在一个域内。
现在我们要从IIS上运行的ASP.NET应用程序调用此服务,该应用程序不属于域。我们不需要用户模仿。实现这种沟通的最安全方式是什么?
这是一个非常标准的情况:Web服务器在DMZ中,我想知道如何设置与WCF后端服务的安全通信。
答案 0 :(得分:2)
我希望它不起作用。如果要在域外使用服务,则无法使用Windows客户端凭据类型。您必须使用Certificate(或None,但这意味着不进行身份验证。)
不同之处在于Windows客户端凭据将使用SSPI创建流保护,而Certificate和None客户端凭据将使用SSL证书创建流保护。如果是Certificate客户端凭据,则每个客户端都将通过其自己的证书进行标识(=您的IIS服务器需要一个)。