シナリオは、構築した内部Webサービスのメソッドを使用するWCFサービスがあることです。
WCFサービスは非常に軽量です。
このWCFサービスを保護して、特定のクライアントのみが使用できるようにします(現在、公開されているサーバー上にあります)。
この公開サーバーに証明書をインストールする機能がないため、使用するのに最適なセキュリティモデルを検討しています。
理想的には、WCFサービスが内部Webサービスに単に「渡す」証明書をクライアントが使用するように構成できるという考えでした。これは、私たちが制御するサーバー上にあり、証明書認証が行われるためです。
これは可能ですか..?そうでない場合、私たちが採用できる他のセキュリティオプションはありませんか?
前もって感謝します。
メッセージ ヘッダーを使用してクライアントの資格情報をチェックする回避策。つまり、メッセージ ヘッダーでユーザー名と pwd を渡すことができます。リクエストを適切に処理する場合は、wcf サービスで確認してください。それ以外の場合は破棄します。
独自のカスタム セキュリティ モデルを作成する必要があると思います。
解決すべき主な問題は、あなたとクライアントの間で「秘密鍵」を共有する方法です。証明書をインストールすることはできないため、キーを別の場所 (セクション内の web.config など) に保存し、安全な方法でクライアントに配布する必要があります。
このキーを使用して、メッセージに署名または暗号化できます。パスワードが暗号化されている標準スキーマを使用することもできます。
いくつかの WS-Security 機能を使用できるかどうかも確認してください!!!
さらに、.Net Framework によって提供されるバインド認証および保護スキーマをチェックします。