WCF WsHttpBinding證書傳輸安全 - Windows證書配置

Question

我有兩個WCF服務使用WsHttpBinding與傳輸安全性相互證書身份驗證，它們被託管在同一個Windows服務器上。可以訪問一個WCF服務的客戶端不應該有權訪問其他WCF服務。我需要一些幫助來在Windows主機上配置客戶端證書。客戶端證書由受信任的CA簽署，中間和根證書鏈已經安裝在服務器上。看起來服務自動依賴信任鏈，並且在讓客戶端訪問服務之前根本不需要在服務器上安裝實際的客戶端證書 - 這不是我想要的行爲。有人可以告訴我應該如何配置這些客戶端證書，以明確允許訪問一個服務而不是另一個服務？

謝謝。

Answer 1

這與證書本身無關。使用相互SSL身份驗證時，證書僅用於對客戶端進行身份驗證，並且身份驗證在您的應用程序之外完成（這與您可以創建自定義證書驗證程序的消息安全性不同）。一旦證書被信任，客戶端就會使用證書進行身份驗證，自動向服務器上的任何內容進行身份驗

您正在尋找授權 - 您可以定義可以通過您的服務對客戶端進行身份驗證的內容的步驟。您可以使用role based security將授權邏輯硬編碼到您的服務中，也可以實施兩個自定義ServiceAuthorizationManager，並將其分配給單個服務。