Sécurité de message avec certificats mutuels
Le scénario ci-dessous montre un service et un client Windows Communication Foundation (WCF) sécurisés à l'aide du mode de sécurité de message. Le client et le service sont authentifiés à l'aide de certificats.
Ce scénario est interopérable car il utilise WS-Security avec le profil de jeton de certificat X.509.
.gif "ms733102.note(fr-fr,VS.90).gif") Remarque : |
|---|
| Ce scénario n'effectue pas la négociation du certificat de service. Le certificat de service doit être fourni au client avant toute communication. Le certificat de serveur peut être distribué avec l'application ou fourni dans une communication hors plage. |
.gif "Sécurité de message avec certificats mutuels")
| Caractéristique | Description |
|---|---|
Mode de sécurité |
Message |
Interopérabilité |
Oui, avec WS-Security et des clients et des services compatibles avec le profil de jeton de certificat X.509. |
Authentification |
Authentification mutuelle du serveur et du client. |
Intégrité |
Oui |
Confidentialité |
Oui |
Transport |
HTTP |
Liaison |
Service
La configuration et le code ci-dessous sont destinés à s'exécuter indépendamment. Effectuez l'une des opérations suivantes :
- Créez un service autonome à l'aide du code sans configuration.
- Créez un service à l'aide de la configuration fournie, mais ne définissez pas de point de terminaison.
Code
Le code ci-dessous crée un point de terminaison de service qui utilise la sécurité de message. Le service requiert un certificat pour s'authentifier.
Configuration
La configuration ci-dessous peut être utilisée à la place du code pour créer le même service.
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<system.serviceModel>
<behaviors>
<serviceBehaviors>
<behavior name="serviceCredentialBehavior">
<serviceCredentials>
<serviceCertificate findValue="Contoso.com"
storeLocation="LocalMachine"
storeName="My"
x509FindType="FindBySubjectName" />
</serviceCredentials>
</behavior>
</serviceBehaviors>
</behaviors>
<services>
<service behaviorConfiguration="serviceCredentialBehavior"
name="ServiceModel.Calculator">
<endpoint address="https://localhost/Calculator"
binding="wsHttpBinding"
bindingConfiguration="InteropCertificateBinding"
name="WSHttpBinding_ICalculator"
contract="ServiceModel.ICalculator" />
</service>
</services>
<bindings>
<wsHttpBinding>
<binding name="InteropCertificateBinding">
<security mode="Message">
<message clientCredentialType="Certificate"
negotiateServiceCredential="false"
establishSecurityContext="false" />
</security>
</binding>
</wsHttpBinding>
</bindings>
<client />
</system.serviceModel>
</configuration>
Client
La configuration et le code ci-dessous sont destinés à s'exécuter indépendamment. Effectuez l'une des opérations suivantes :
- Créez un client autonome à l'aide du code (et du code client).
- Créez un client qui ne définit pas d'adresse de point de terminaison. Au lieu de cela, utilisez le constructeur client qui accepte le nom de configuration comme argument. Par exemple :
Code
Le code ci-dessous crée le client. Le mode de sécurité a la valeur Message et le type d'informations d'identification client a la valeur Certificat.
Configuration
Les éléments ci-dessous configurent le client. Un certificat client doit être spécifié à l'aide du <clientCertificate> of <clientCredentials> Element. En outre, le certificat de service est spécifié à l'aide du <defaultCertificate> Element.
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<system.serviceModel>
<behaviors>
<endpointBehaviors>
<behavior name="ClientCredentialsBehavior">
<clientCredentials>
<clientCertificate findValue="Cohowinery.com"
storeLocation="CurrentUser"
storeName="My"
x509FindType="FindBySubjectName" />
<serviceCertificate>
<defaultCertificate findValue="Contoso.com"
storeLocation="CurrentUser"
storeName="TrustedPeople"
x509FindType="FindBySubjectName" />
</serviceCertificate>
</clientCredentials>
</behavior>
</endpointBehaviors>
</behaviors>
<bindings>
<wsHttpBinding>
<binding name="WSHttpBinding_ICalculator" >
<security mode="Message">
<message clientCredentialType="Certificate"
negotiateServiceCredential="false"
establishSecurityContext="false" />
</security>
</binding>
</wsHttpBinding>
</bindings>
<client>
<endpoint address="http://machineName/Calculator"
behaviorConfiguration="ClientCredentialsBehavior"
binding="wsHttpBinding"
bindingConfiguration="WSHttpBinding_ICalculator"
contract="ICalculator"
name="WSHttpBinding_ICalculator">
<identity>
<certificate encodedValue="Encoded_Value_Not_Shown" />
</identity>
</endpoint>
</client>
</system.serviceModel>
</configuration>