WCF自寄宿實現Https綁定

一、WCF配置

1 Address

將服務端發布地址和客戶端訪問地址都配置為https開始的安全地址。參考如下。

<add key="SrvUrl" value="https://127.0.0.1:8001/Service"/>

 

2 Bingding

為適應WCF自寄宿的模式，應采用WSHttpBinding作為綁定模式，並選擇Transport安全模式，此模式下支持由服務器SSL證書保證的信息完整性、保密性、服務端身份驗證（不支持客戶端身份驗證，如甲方要求需要驗證調用WCF服務客戶端的身份，則要配置其他的安全模式）。

Binding實例化代碼：

WS2007HttpBinding wshttpbinding = new WS2007HttpBinding();
wshttpbinding.MaxReceivedMessageSize = 6553500;
wshttpbinding.SendTimeout = new TimeSpan(0, 5, 1);
wshttpbinding.ReceiveTimeout = new TimeSpan(0, 5, 1);
//設置安全模式為Transport
wshttpbinding.Security.Mode = SecurityMode.Transport;
//不驗證客戶端身份
wshttpbinding.Security.Transport.ClientCredentialType = HttpClientCredentialType.None;

 

3 Contract

契約與基礎的basicHttpBingding沒有區別，不用另作配置。

 

二、服務器X.509證書

1 用途

服務端首次相應https請求時要將加密算法以及綁定的X.509數字證書發送給客戶端，所以使用https發布WCF服務時必須提供X.509數字證書，數字證書一般由官方CA機構頒發，我們測試時可以使用工具自己制作。

 

 

2 生成

測試用X.509數字證書可以使用微軟提供的makecert.exe來生成，命令如下，其中參數-n x509name表示證書名稱，參數-pe表示私鑰可導出，參數-sr location表示證書存儲唯智為本機，參數-ss store表示證書存儲區，參數-sky keytype表示主體密鑰類型。

PS C:\WINDOWS\system32> C:\Cert\MakeCert -n "CN=SSWMS_WDZ" -pe -sr LocalMachine -ss My -sky exchange

 3 信任證書

證書生成后要將其移動到受信任人區域，使用CertMgr.exe操作，命令如下。

PS C:\WINDOWS\system32> C:\Cert\certmgr.exe -add -r LocalMachine -s My -c -n SSWMS_WDZ -r LocalMachine -s TrustedPeople

 

4 綁定端口

https發布之前還需要將生成的X.509證書綁定到發布端口，以便傳輸時系統能正確找到證書用於加密，綁定證書使用系統自帶程序netsh.exe，命令如下，其中certhash為證書指紋，appid為系統GUID。

netsh http add sslcert ipport=0.0.0.0:8001 certhash= 87c6227b200430b0d882d96c9e764984a364d7c0 appid={ a984bd18-a513-41fc-98d5-282078f60e1e}

 

解除綁定可使用命令。

http delete sslcert ipport=0.0.0.0:8001

  

三、主程序

由於我們的測試證書是非CA官方機構頒發，所以證書不在信任鏈中，客戶端在不信任證書的情況下會主動拒絕調用，我們需要在客戶端程序注冊ServicePointManager靜態ServerCertificateValidationCallback回調自定義證書認證方式，讓驗證結果返回值為true，強制客戶端信任測試證書，在客戶端程序入庫處添加代碼如下。

ServicePointManager.ServerCertificateValidationCallback += new System.Net.Security.RemoteCert
ificateValidationCallback((sender, x509cert, x509chain, pErrors) => true);

 

四、元數據

https發布的元數據訪問方式與http相同，但瀏覽器會提示證書有誤。

 

 

五、可能遇到的異常

1 證書未成功綁定到服務發布地址

  

2 客戶端未信任服務端證書

  

六、工具和代碼下載

1 證書制作工具

MakeCert.exe和CertMrg.exe: https://pan.baidu.com/s/1pM54LU7 密碼：eaba