2

まず、未知の人々を助けようとしているすべての患者技術者に感謝します。

次に、wcfサービスがあります。これは、当社が知っている複数のクライアント(10)のみが使用する必要があります。このwcfサービスには、x509certificate "CN=ABCD"があります。これで、このサービスを利用するために、クライアントから順番に証明書を受け取ることを期待しています。だからここにデザインの質問があります

  1. 証明書「CN=ABCD」を1つ作成し、それを右クリックしてpfxファイルとしてエクスポートし、クライアントに配布する必要がありますか?
  2. コードで検証すると言う人もいれば、configで検証すると言う人もいます。
  3. 会社が証明書を配布する場合、証明書はすべて同じ名前であるため、どのクライアントが呼び出しているかをどのように知る必要がありますか?
  4. .cerファイルと.pfxファイルの違いは何ですか?
  5. 証明書をクライアントに渡すときに、.cerファイルと.pfxファイルの両方を提供しますか?
  6. 有効期限が切れた場合、1つのクライアントのみを取り消すにはどうすればよいですか?
  7. 私のcomapnyにはすでに*.fdfd.orgのような証明書があります。これをX509Certificateとして生成する代わりに使用できますか?

多くの質問!
しかし、多くの欲求不満のために、私は正しい情報を得ることができなかったので、そこにいる開発者の意見を聞きたかったのです。

4

1 に答える 1

1
  • いいえサービスには個別の証明書が必要であり、クライアントごとに1つの証明書が必要です。サービスの秘密鍵を共有すると、セキュリティが失われます。
  • クライアント証明書の公開鍵をMachine\Trusted peopleにインストールするか(信頼できる証明書を持つクライアントがサービスにアクセスできます)、カスタム証明書検証ツールを使用できます(メッセージセキュリティのみ-前の質問によると、おそらくメッセージセキュリティを使用します)実際にそれらの10個の証明書のみを検証します。
  • これは、クライアントごとに個別の証明書を作成する場合にのみ可能です。証明書をサポートするユーザー名とパスワードと組み合わせることも可能ですが、非常に高度なWCF構成が必要であり、複数のクライアント間で単一の証明書を共有することは悪い決断です。
  • 証明書は、一部の情報(非対称暗号化のキー)の単なるコンテナーです。.cerには、自由に配布できる公開鍵のみが含まれています。おそらく、サービスの証明書の.cerファイルをクライアント間で配布する必要があります。.pfxには公開鍵と秘密鍵の両方が含まれており、可能な限り保護する必要があります。.pfxファイルが危険にさらされると、証明書は保護されなくなり、置き換える必要があります。そのため、サービスの.pfx(証明書クレデンシャルストアにインストールされている)を保持する必要があり、各クライアントは自分の.pfxを保持する必要があります。
  • クライアントの証明書を作成する場合は、少なくとも.pfxをクライアントに渡します。明らかに、セキュリティで保護されていない電子メールでそのような証明書を送信すると、セキュリティが大幅に損なわれます。
  • 1つのクライアントの有効期限が切れると、その証明書が信頼できる証明書から削除されます。独自の認証局がある場合(クライアントの証明書を作成する場合に必要です)
  • サービスがfdfd.orgにある場合は、おそらくそれを使用できますが、サービスにのみ使用できます。
于 2011-05-10T19:03:34.537 に答える