一、WCF配置
1 Address
将服务端发布地址和客户端访问地址都配置为https开始的安全地址。参考如下。
<add key="SrvUrl" value="https://127.0.0.1:8001/Service"/>
2 Bingding
为适应WCF自寄宿的模式,应采用WSHttpBinding作为绑定模式,并选择Transport安全模式,此模式下支持由服务器SSL证书保证的信息完整性、保密性、服务端身份验证(不支持客户端身份验证,如甲方要求需要验证调用WCF服务客户端的身份,则要配置其他的安全模式)。
Binding实例化代码:
WS2007HttpBinding wshttpbinding = new WS2007HttpBinding();
wshttpbinding.MaxReceivedMessageSize = ;
wshttpbinding.SendTimeout = new TimeSpan(, , );
wshttpbinding.ReceiveTimeout = new TimeSpan(, , );
//设置安全模式为Transport
wshttpbinding.Security.Mode = SecurityMode.Transport;
//不验证客户端身份
wshttpbinding.Security.Transport.ClientCredentialType = HttpClientCredentialType.None;
3 Contract
契约与基础的basicHttpBingding没有区别,不用另作配置。
二、服务器X.509证书
1 用途
服务端首次相应https请求时要将加密算法以及绑定的X.509数字证书发送给客户端,所以使用https发布WCF服务时必须提供X.509数字证书,数字证书一般由官方CA机构颁发,我们测试时可以使用工具自己制作。
2 生成
测试用X.509数字证书可以使用微软提供的makecert.exe来生成,命令如下,其中参数-n x509name表示证书名称,参数-pe表示私钥可导出,参数-sr location表示证书存储唯智为本机,参数-ss store表示证书存储区,参数-sky keytype表示主体密钥类型。
PS C:\WINDOWS\system32> C:\Cert\MakeCert -n "CN=SSWMS_WDZ" -pe -sr LocalMachine -ss My -sky exchange
3 信任证书
证书生成后要将其移动到受信任人区域,使用CertMgr.exe操作,命令如下。
PS C:\WINDOWS\system32> C:\Cert\certmgr.exe -add -r LocalMachine -s My -c -n SSWMS_WDZ -r LocalMachine -s TrustedPeople
4 绑定端口
https发布之前还需要将生成的X.509证书绑定到发布端口,以便传输时系统能正确找到证书用于加密,绑定证书使用系统自带程序netsh.exe,命令如下,其中certhash为证书指纹,appid为系统GUID。
netsh http add sslcert ipport=0.0.0.0: certhash= 87c6227b200430b0d882d96c9e764984a364d7c0 appid={ a984bd18-a513-41fc-98d5-282078f60e1e}
解除绑定可使用命令。
http delete sslcert ipport=0.0.0.0:
三、主程序
由于我们的测试证书是非CA官方机构颁发,所以证书不在信任链中,客户端在不信任证书的情况下会主动拒绝调用,我们需要在客户端程序注册ServicePointManager静态ServerCertificateValidationCallback回调自定义证书认证方式,让验证结果返回值为true,强制客户端信任测试证书,在客户端程序入库处添加代码如下。
ServicePointManager.ServerCertificateValidationCallback += new System.Net.Security.RemoteCert
ificateValidationCallback((sender, x509cert, x509chain, pErrors) => true);
四、元数据
https发布的元数据访问方式与http相同,但浏览器会提示证书有误。
五、可能遇到的异常
1 证书未成功绑定到服务发布地址
2 客户端未信任服务端证书
六、工具和代码下载
1 证书制作工具
MakeCert.exe和CertMrg.exe: https://pan.baidu.com/s/1pM54LU7 密码:eaba