問題タブ [transport-security]

私のシナリオ: Amazon EC2 サーバーでホストされている公開 Web アプリがあります。ファイアウォールの背後に自己ホスト型データベース サーバーがあります。データ アクセス用の Web サービスを備えた自己ホスト型の Web サービス サーバーがあります。私が承認したアプリケーション (クラウドに住んでいる私自身) だけがサービスにアクセスできるようにしたいのですが、どのデータもクリアテキストで渡されることは望ましくありません。

支離滅裂で非常に難読化された MSDN の記事、Stackoverflow スレッド、コード プロジェクトの記事、その他のブログをすべて読んでいるとわかります。必要なセキュリティのタイプは次の とおりです。 wsHttpBinding を使用して、証明書clientCredentialType を使用したトランスポートセキュリティ モード。最初の質問、私はそれを仮定するのは正しいですか? それで十分なセキュリティが得られますか？これは B2B などではありません。ただし、これはクロスドメインであり、呼び出し元を信頼できることを確認したいだけです. 私のサービスは特定のユーザーが所有する AppPool で実行されているため、統合されたセキュリティで DB にアクセスできます。承認したサービスへの呼び出し元だけが確実にアクセスできるようにする必要があります。SSL が既に行っている以上に、メッセージを暗号化する必要はないと思います。

考えられるすべてのシナリオにより、これが私が望むものであるかどうかを知ることは非常に困難です. しかし、それが次の質問であると仮定すると、証明書をどのように設定するのですか? 現在、サーバーに証明書があり、Https でしかアクセスできません。(セキュリティ モード="トランスポート"、clientCredentialType="なし")。しかし、私の人生では、 clientCredentialType を Certificate に変更して機能させるために何をする必要があるのか​​ わかりません。

• サーバーからクライアントに何を渡し、どこに行くのですか?
• クライアントからサーバーに何を与え、どこに行くのですか?
• 複数のクライアント (Web ファーム) がある場合、それらすべてに対して異なるクライアント証明書を用意する必要がありますか? それとも、サーバーが受け入れる 1 つの証明書を共有できますか?

私が読んだすべての開発記事には、証明書のセットアップは管理ツールであり、記事の範囲を超えていると書かれています。まあ、WCF のことは簡単です。それはまさに私が助けを必要としている極度の証明書のことであり、私が見つけた有用な記事はまだありません。近いものは、makecert.exe でそれを行う方法を示し、本番環境では異なると言っていますが、本番環境でそれを行う方法については述べていません。

私の欲求不満のレベルが現れていると確信しています。申し訳ありません。しかし、WCF で非常に一般的なセキュリティ シナリオと思われるものを実行する方法について明確な説明がないのは、まったく意味がありません。

すべての助けに感謝します、ケン

(ハ! 私がそこで何をしたかわかる?)

私は、サーバーが中央の DB から多くのクライアント DB に情報をプッシュし (インターネットを介してクロスドメイン)、定期的にサーバー上のサービスを呼び出すシステムを持っています。これは、断続的な接続、つまりキュー メッセージに耐えなければなりません。

トランスポート セキュリティを適用しようとしている二重 MSMQ を使用して開発バージョンを作成しました。私が行った読書から、次のように見えます：

• MSMQ は AD Windows セキュリティを使用しますが、これはクロスドメインには関係ありません。
• デュプレックスの性質上、各クライアントは事実上サーバーでもあります。つまり、SSL を使用したい場合、別のクライアントでシステムをインストールするたびに $1200 を支払う必要があります。

これらの事実は正しいですか？キューに入れられ、クロスドメインであり、デュプレックスであるサービスを保護する必要があるのは、本当に私だけでしょうか?

Webサービス（SOAP）を介してメソッドを呼び出そうとしています

JAX-WSを使用してWebサービスクライアントを生成しました。

トランスポートレベルのセキュリティでのみWebサービスにアクセスできます。

エラーが発生しました：

これは私のコードです：

私が実行している主なメソッド：

JAX-WSを介して自動生成されたクラス：

クラスでこのメソッドを呼び出すと、実行が発生します：'DummySubsForNetwork_Service'

ありがとう、レイ。

NetTcpBindingトランスポート セキュリティを使用し、 を にclientCredientialType設定した WCF Web サービスがありnoneます。このバインディングを使用するエンドポイントで ID が指定されていません。サービスでメソッドを呼び出そうとするたびに、次のエラーが発生します。

クライアント側：

System.ServiceModel.Security.SecurityNegotiationException: SSPI の呼び出しに失敗しました。内部例外を参照してください。

サービス側:

System.ServiceModel.Security.SecurityNegotiationException: リモート側で認証が失敗しました (ストリームは、追加の認証試行に引き続き使用できる可能性があります)。

System.ComponentModel.Win32Exception: 対象のプリンシパル名が正しくありません

これに関する任意の助けをいただければ幸いです

ありがとう

Sj

I have a WCF service I'm hosting in IIS6. I'm trying to set up custom username/password authentication using Transport level security. I've set up a test certificate and got a client to connect over SSL with no authentication specified, i.e:

I've set up a custom validator with Message security and client credential type "UserName", but I'd like to incorporate this now with Transport level security. When I have my web.config set, when I try to view the WSDL, I get an error: "Security settings for this service require 'Basic' Authentication but it is not enabled for the IIS application that hosts this service."

Here are the important parts of my web.config:

Is there something I'm supposed to set in IIS6 to enable this? In IIS, I started initially with the "Enable anonymous access" option enabled. I also tried enabling "Basic authentication (password is sent in clear text)" checkbox, but no success.

次のエラーのデバッグに 2 日を費やしたので、調査結果を共有したいと思いました。

シナリオは次のとおりです。IIS7 でホストされている WCF サービスがあります。このサービスは、セキュリティ モードが TransportCredentialOnly に設定された basicHttpBinding を使用します。この Web サイトでは、匿名認証と Windows 認証が有効になっています。Web サイトのアプリケーション プールは、Web サイトの物理フォルダーに対するあらゆる権限を持つドメイン アカウントで実行されます。Internet Explorer からサービスの .svc を参照することはできましたが、クライアントからサービスのメソッドを呼び出そうとすると、「HTTP 要求はクライアント認証方式のネゴシエートでは許可されていません」というエラーが発生しました。また、IIS ログはメソッドの呼び出しごとに 401.5 エラーを示しました。これはこのセキュリティ設定では正常ですが、その後に 200 が続くはずですが、ここではそうではありませんでした。

最後に、デフォルト Web サイトの認証設定を確認することで、問題を解決することができました。そこでは Windows 認証が無効になっていました。有効にすると、サービスが機能し始めました。Web サイトの設定がこれを上書きすると思うかもしれませんが、そうではありません。そのため、ワイヤーシャークや 1 日中プロモーニングから身を守り、この設定を確認してください。

乾杯！

トランスポート セキュリティを使用する IIS でホストされている WCF サービスがあります。TLS バージョンを 1.2 に制限する必要があります。

Windows Server 2008 と Windows 7 で TLS 1.2 がサポートされていることがわかりました。

サーバー用の Windows Server 2003 とクライアント用の Windows Vista および XP で TLS の使用をバージョン 1.2 に制限することはできますか? これらの古い OS で 1.2 はサポートされていますか?

構成されたhttps制約がweb.xmlで機密に設定されている単純なjsfセキュアトランスポートメカニズムに取り組んでいます。今、私がやりたかったのは、セキュアトランスポート用の特定のページを選択することでした。別のページに移動するログインページがあります。ログインページはユーザー名とパスワードを取得し、要求されたページを表示する前にその信頼性を検証するejbにセキュアレイヤーを介して転送する必要があります。 web.xmlの要求されたページのfaces/pageToView.xhtmlで、私は本当に理解できない面白い動作をします。最初に、ログインすると、httpsなしでpageToView.xhtmlが表示され、クリックして別のpageToView2.xhtmlに移動します。最初のpageToView.xhtmlはhttpsで再表示されます。安全なトランスポート用に構成していなくても、ナビゲートする他のすべてのページにhttpsが表示されるだけではありません。特定のページの安全なトランスポート動作を構成する正しい方法を知る必要があります。前もって感謝します。

ブーストソケットを使用して tls を実装する方法を知っている人はいますか? 私はsslを実装しましたが、tlsに拡張してもかまいません。

Windows Azureでコールバックとトランスポート セキュリティを使用し、運用証明書とドメイン リダイレクトを使用する WCFセルフホステッドサービスがあります。NetTcpBinding

開発者ライセンスを更新する前は、すべてが機能していました。その後、Reference.cs ファイルで次の例外が発生します。

タイプ 'Microsoft.VisualStudio.Diagnostics.ServiceModelSink.Behavior, Microsoft.VisualStudio.Diagnostics.ServiceModelSink, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a' が拡張機能 'Microsoft.VisualStudio.Diagnostics.ServiceModelSink.Behavior' に登録される可能性がありますロードされません。

私の同僚はまだ開発ライセンスを更新しておらず、すべてが機能しています。

なぜこれが起こっているのですか？