WCF NetTcpBinding Transport安全模式(7)2014-06-26ClientCredentialType证书验证模式---- ChainTrust验证模式ChainTrust验证模式使用证书链来验证 X.509证书是否有效以及是否由受信任 的颁发者所颁发。它指定每个证书都必须存在于某个证书层次结构中,而该层次 结构以位于证书链顶端的根证书颁发机构结束。它将验证 X.509证书是否由受信 任的证书颁发机构颁发。通过搜索证书存储区并确定是否已将该证书颁发机构的 证书指定为受信任的证书,可以做到这一点。为了使 WCF能够做出此判断,必须 将证书颁发机构证书链安装在正确的证书存储区中。因为 Windows附带一组默认的用于受信任证书颁发机构的证书链,所以可能不 必为所有证书颁发机构安装证书链。扩展阅读 X.509的证书链说明crt上有证书持有人的信息、持有人的公钥、签署者的签名。当安装了一个证 书后,就信任了这份证书。证书上会说明用途,例如服务器认证、客户端认证, 或者签署其他证书。当系统收到一份新的证书的时候,证书会说明是由谁签署的 。如果这个签署者确实可以签署其他证书,并且收到证书上的签名和签署者的公 钥可以对上的时候,系统就自动信任新的证书。
在系统开始的时候,会自动安装信任一些证书机构,这些被称为根证书机 构(CA)。根证书机构会为其他公司颁发证书,用于各种用途。当然,被签署的 证书也可能是一份“可签署证书”,这样就要检查对方的资质。这样 逐层签署,就会形成“证书链”。设置验证模式为“ChainTrust”的配置如以下代码所示。在服务端设置验证客户端凭据模式为“ChainTrust”:
<clientCertificate > <certificate findValue="XuanhunClient" storeLocation="CurrentUser" storeName="My" x509FindType="FindBySubjectName"/><authentication certificateValidationMode="ChainTrust" trustedStoreLocation="CurrentUser"/> </clientCertificate>
在客户端设置验证验证服务端凭据模式为“ChainTrust”:
<serviceCertificate > <defaultCertificatex509FindType="FindBySubjectName"storeLocation="CurrentUser"storeName="TrustedPeople"findValue="XuanhunServer"/><authentication certificateValidationMode="ChainTrust"/></serviceCertificate>
作者:玄魂出处:http://www.cnblogs.com/xuanhun/
易网时代-编程资源站