有一个带有WCF客户端的服务器,它定期启动Internet上的通信,并在我们的客户端计算机上安装了许多WCF服务 . WCF服务和WCF客户端托管在Windows服务中,当前绑定是basicHttpBinding .
通信必须通过https进行相互身份验证 . 公司订购了SSL证书,但不清楚是否可以在客户端计算机上安装此证书(因为WCF服务在那里)而不暴露私钥 . 绑定可以是basicHttpBinding或wcHttpBinding与传输或消息安全但使用证书 .
是否可以在客户端计算机上安装服务端证书和在我们的服务器上安装客户端证书?是否应重新构建此体系结构,以便WCF服务在我们的服务器上,或者可以以某种方式确保当前的解决方案?
1 回答
涉及的每台计算机都需要自己的证书 . 用于身份验证的证书值依赖于私钥的唯一性 . 私钥永远不会离开主机,并且证书可用于验证所述机器(因为它是世界上唯一拥有该私钥的机器) . 一旦开始分发私钥的副本,安全性就会受到严重影响 .
通常,此类部署依赖于PKI基础结构,该基础结构可以按需创建证书并使用可信密钥对其进行签名 .
证书用于什么产品/协议是无关紧要的 . 你使用什么样的WCF HTTP绑定不会 .