3

.net c# クライアントから CXF Web サービスを利用したいと考えています。現在、Java から Java へのリクエストに取り組んでおり、ws-security (WSS4J ライブラリ) を通じて SOAP エンベロープを保護しています。

私の質問は、次のクライアント側 Java コードと同じ SOAP 要求を生成する C# WS クライアントをどのように実装できますか?

//doc is the original SOAP envelope to process with WSS4J
WSSecHeader secHeader = new WSSecHeader();
secHeader.insertSecurityHeader(doc);

//add username token with password digest
WSSecUsernameToken usrNameTok = new WSSecUsernameToken();
usrNameTok.setPasswordType(WSConstants.PASSWORD_DIGEST);
usrNameTok.setUserInfo("guest",psw_guest);
usrNameTok.prepare(doc);
usrNameTok.appendToHeader(secHeader);

//sign the envelope body with client key
WSSecSignature sign = new WSSecSignature();
sign.setUserInfo("clientx509v1", psw_clientx509v1);
sign.setKeyIdentifierType(WSConstants.BST_DIRECT_REFERENCE);

Document signedDoc = null;      
sign.prepare(doc, sigCrypto, secHeader);
signedDoc = sign.build(doc, sigCrypto, secHeader);

//encrypt envelope body with server public key
WSSecEncrypt encrypt = new WSSecEncrypt();
encrypt.setUserInfo("serverx509v1");

// build the encrypted SOAP part
String out = null;  
Document encryptedDoc = encrypt.build(signedDoc, encCrypto, secHeader);
return encryptedDoc;

Microsoft のハウツーや .net の動作例をどこで見つけられるか知っている人はいますか?

================================ 編集 ================ ===================

ラディスラフありがとう!私はあなたの提案を適用し、次のようなものを思いつきました:

X509Certificate2 client_pk, server_cert;
client_pk = new X509Certificate2(@"C:\x509\clientKey.pem", "blablabla");
server_cert = new X509Certificate2(@"C:\x509\server-cert.pfx", "blablabla");

// Create the binding.
System.ServiceModel.WSHttpBinding myBinding = new WSHttpBinding();    
myBinding.TextEncoding = ASCIIEncoding.UTF8;
myBinding.MessageEncoding = WSMessageEncoding.Text;            
myBinding.Security.Mode = SecurityMode.Message;
myBinding.Security.Message.ClientCredentialType = MessageCredentialType.Certificate;
myBinding.Security.Message.AlgorithmSuite =                                          
            System.ServiceModel.Security.SecurityAlgorithmSuite.Basic128;

// Disable credential negotiation and the establishment of 
// a security context.
myBinding.Security.Message.NegotiateServiceCredential = false;
myBinding.Security.Message.EstablishSecurityContext = false;                

// Create the endpoint address. 
EndpointAddress ea =
    new EndpointAddress(new Uri("http://bla.bla.bla"), 
            EndpointIdentity.CreateDnsIdentity("issuer"));

// configure the username credentials on the channel factory 
UsernameClientCredentials credentials = new UsernameClientCredentials(new 
                                    UsernameInfo("superadmin", "secret"));

// Create the client. 
PersistenceClient client = new PersistenceClient(myBinding, ea);

client.Endpoint.Contract.ProtectionLevel = 
            System.Net.Security.ProtectionLevel.EncryptAndSign;

// replace ClientCredentials with UsernameClientCredentials
client.Endpoint.Behaviors.Remove(typeof(ClientCredentials));
client.Endpoint.Behaviors.Add(credentials);

// Specify a certificate to use for authenticating the client.
client.ClientCredentials.ClientCertificate.Certificate = client_pk;

// Specify a default certificate for the service.
client.ClientCredentials.ServiceCertificate.DefaultCertificate = server_cert;

// Begin using the client.
client.Open();
clientProxyNetwork[] response = client.GetAllNetwork();

その結果、(サーバー側で) 次の CXF 例外が発生します。

 java.security.SignatureException: Signature does not match.
at sun.security.x509.X509CertImpl.verify(X509CertImpl.java:421)
at sun.security.provider.certpath.BasicChecker.verifySignature(BasicChecker.java:133)
at sun.security.provider.certpath.BasicChecker.check(BasicChecker.java:112)
at sun.security.provider.certpath.PKIXMasterCertPathValidator.validate  (PKIXMasterCertPathValidator.java:117)

したがって、それは主要な jks->pem 変換の問題のようです...または、上記のクライアントコードに何か不足していますか?

4

2 に答える 2

1

最終的な解決策は、ユーザー名トークン全体を暗号化して署名することです。相互運用性に関しては、cxf で ws アドレッシングをアクティブにする必要があり、c# でのカスタム バインディングが必要です。トリックを行ったカスタムバインディングは基本的に

AsymmetricSecurityBindingElement abe =
    (AsymmetricSecurityBindingElement)SecurityBindingElement.
CreateMutualCertificateBindingElement(MessageSecurityVersion.
WSSecurity10WSTrustFebruary2005WSSecureConversationFebruary2005WSSecurityPolicy11BasicSecurityProfile10);
               

Wcf は各 ws アドレッシング要素に署名するため、サーバー側で同じことを行う必要があります。

于 2011-12-30T21:24:04.880 に答える
0

WCFは UserNameToken Profile with Digested password をサポートしていないため、これは通常かなり大きな問題です。数か月前に必要になり、独自のカスタム バインディングを実装する必要がありましたが、そのコードは公開する準備ができていません。幸いなことに、このブログ記事でUserNameClientCredentialsは、他の実装について説明し、ダイジェストされたパスワードをサポートする新しいクラスのサンプル コードが含まれています。

ところで。WSE 3.0 と呼ばれる古い API でも同じセキュリティ構成が可能です。これは WCF に置き換えられましたが、それでも一部の WS-* スタック構成は、その API と古い ASMX サービスを使用するとはるかに単純になります。

于 2011-01-22T15:33:58.747 に答える