WCF - 是否需要驗證客戶端的服務證書？

Question

我認爲我的WCF驗證思維模型存在差距，希望有人可以幫我填寫它。

所以，我創建了一個WCF服務並希望客戶端使用證書進行身份驗證，一級安全。我希望服務使用鏈式信任來驗證這些信息，以便我不需要在服務上安裝每個客戶端證書。目前，我對將服務認證給客戶端不感興趣。

這是我做這個什麼需要了解：

1. 客戶端需要通過對服務端信任的CA簽名的證書。
2. 服務需要爲該CA安裝CRL。
3. 服務配置應打開消息安全性，指定clientCredentialType =「證書」和客戶端證書驗證的鏈信任。
4. 客戶端配置應該打開消息安全性，指定clientCredentialType =「Certificate」以及告知如何在存儲中查找客戶端證書的端點行爲。

客戶端向服務器發送請求，發送其證書。該服務看到客戶的證書由其可信任的CA簽署並通過請求。

現在，我發現這個過程的所有演練還包括爲服務創建證書的步驟。他們都沒有解釋這是爲了什麼，這是扔我。如果我只想驗證客戶端，爲什麼需要服務證書？

Answer 1

你說得對。理論上，不需要服務器證書，實際上wcf會強制你使用一個證書。好消息是您應該爲服務器使用虛擬證書並將ProtectionLevel設置爲SignOnly。我建議閱讀this article，其中談到了類似的情況並且主要是相關的。