none
Transport_Certificate_wsHttpBinding的问题 RRS feed

  • 问题

  • 有个小问题,麻烦问下.

    客户使用证书的时候,是安装在客户端还是在服务器端?

    您写的应该在在1台机器上,应该是每个客户端都把证书安装在自己的机器上吧,确认一下,谢谢.

    2009年9月6日 3:54

答案

  • 谢谢,您的文章使我在安全方面的思路更加清晰,另外还有个问题:

    您在制作证书的时候为什么都要加上  -pe 的开关?倒出密匙具体有什么用?


    Hi,
      简单就是考虑以后要把证书的密钥一起导出。
      早期我在写WCF安全例子代码的时候遇到这个问题。
      制作的证书不可以导出密钥。
      因为自己制作的证书涉及到有效性安全验证的问题。
      我就需要密钥一起倒出。再倒入其它信任的区域或者根证书区域。

      其次就因为证书是非对称加密算法的应用。
      证书之包含公钥,如果我想再其它服务器重复使用这个制作的证书,就需要把密钥一起导出。
      这样就是可以利用已有的证书。
      比如传输安全设置的时候,我可以把这个证书多次安装或者测试,因为导出文件里包含了密钥。
      及时重新安装系统或者部署服务器我都可以来使用这个证书。
     
     
    Frank Xu Lei--谦卑若愚,好学若饥
    专注于.NET平台下分布式应用系统开发和企业应用系统集成
    Focus on Distributed Applications Development and EAI based on .NET
    欢迎访问老徐的中文技术博客:Welcome to My Chinese Technical Blog
    欢迎访问微软WCF中文技术论坛:Welcome to Microsoft Chinese WCF Forum
    欢迎访问微软WCF英文技术论坛:Welcome to Microsoft English WCF Forum
    • 已标记为答案 sofish 2009年9月6日 10:06
    2009年9月6日 9:48
    版主

全部回复

  • Hi,
      不要这么客气~
    1.客户端证书,其实是安装在客户端的。
      起码客户端要提供这样一个证书来证明自己的身份。
    2.我写的代码是主要单机调试的,所以就放在一个机器上了。
     
       实际客户端使用证书的例子还真有,比如网银,很多时候要求客户端提供一个u盘,这里实际存储的是个客户端证书。
    保证用户的真实性。每次连接网上银行的时候必须提供证书。
      一些电脑网络的登录和链接也采取类似的手段。
     
       有些证书是商业证书,比如Versign,需要费用,但这些机构的证书鉴别的话系统会根据证书鉴别的策略来验证。
    我们这里临时的证书,验证有效性是个问题,一般也就自己学习使用。
    Frank Xu Lei--谦卑若愚,好学若饥
    专注于.NET平台下分布式应用系统开发和企业应用系统集成
    Focus on Distributed Applications Development and EAI based on .NET
    欢迎访问老徐的中文技术博客:Welcome to My Chinese Technical Blog
    欢迎访问微软WCF中文技术论坛:Welcome to Microsoft Chinese WCF Forum
    欢迎访问微软WCF英文技术论坛:Welcome to Microsoft English WCF Forum
    2009年9月6日 6:57
    版主
  • 谢谢,您的文章使我在安全方面的思路更加清晰,另外还有个问题:

    您在制作证书的时候为什么都要加上  -pe 的开关?倒出密匙具体有什么用?

    2009年9月6日 7:18
  • 谢谢,您的文章使我在安全方面的思路更加清晰,另外还有个问题:

    您在制作证书的时候为什么都要加上  -pe 的开关?倒出密匙具体有什么用?


    Hi,
      简单就是考虑以后要把证书的密钥一起导出。
      早期我在写WCF安全例子代码的时候遇到这个问题。
      制作的证书不可以导出密钥。
      因为自己制作的证书涉及到有效性安全验证的问题。
      我就需要密钥一起倒出。再倒入其它信任的区域或者根证书区域。

      其次就因为证书是非对称加密算法的应用。
      证书之包含公钥,如果我想再其它服务器重复使用这个制作的证书,就需要把密钥一起导出。
      这样就是可以利用已有的证书。
      比如传输安全设置的时候,我可以把这个证书多次安装或者测试,因为导出文件里包含了密钥。
      及时重新安装系统或者部署服务器我都可以来使用这个证书。
     
     
    Frank Xu Lei--谦卑若愚,好学若饥
    专注于.NET平台下分布式应用系统开发和企业应用系统集成
    Focus on Distributed Applications Development and EAI based on .NET
    欢迎访问老徐的中文技术博客:Welcome to My Chinese Technical Blog
    欢迎访问微软WCF中文技术论坛:Welcome to Microsoft Chinese WCF Forum
    欢迎访问微软WCF英文技术论坛:Welcome to Microsoft English WCF Forum
    • 已标记为答案 sofish 2009年9月6日 10:06
    2009年9月6日 9:48
    版主