<message> von <wsHttpBinding>

Definiert die Einstellungen für die Sicherheit des <wsHttpBinding>-Elements auf Nachrichtenebene.

<configuration>
  <system.serviceModel>
    <bindings>
      <wsHttpBinding>
        <binding>
          <security>
            <message>

Syntax

<message algorithmSuite="Basic128/Basic192/Basic256/Basic128Rsa15/Basic256Rsa15/TripleDes/TripleDesRsa15/Basic128Sha256/Basic192Sha256/TripleDesSha256/Basic128Sha256Rsa15/Basic192Sha256Rsa15/Basic256Sha256Rsa15/TripleDesSha256Rsa15"
         clientCredentialType="Certificate/IssuedToken/None/UserName/Windows"
         establishSecurityContext="Boolean"
         negotiateServiceCredential="Boolean" />

type

NonDualMessageSecurityOverHttp

Attribute und Elemente

In den folgenden Abschnitten werden Attribute, untergeordnete Elemente sowie übergeordnete Elemente beschrieben.

Attribute

attribute BESCHREIBUNG
algorithmSuite Legt die Nachrichtenverschlüsselungs- und Key Wrap-Algorithmen fest. Die Algorithmen und die Schlüsselgröße werden durch die SecurityAlgorithmSuite-Klasse ermittelt. Diese Algorithmen sind den Algorithmen in der Spezifikation der Sicherheitsrichtliniensprache (WS-SecurityPolicy) zugeordnet.

Der Standardwert ist Basic256.
clientCredentialType Optional. Gibt den Typ der Anmeldeinformationen an, die bei der Clientauthentifizierung im Sicherheitsmodus über Message oder TransportWithMessageCredentials verwendet werden. Die Enumerationswerte finden Sie unten. Der Standardwert ist Windows.

Dieses Attribut ist vom Typ MessageCredentialType.
establishSecurityContext Ein boolescher Wert, der ermittelt, ob der Sicherheitskanal eine sichere Sitzung aufbaut. In einer sicheren Sitzung wird vor dem Austausch der Anwendungsnachrichten ein Sicherheitskontexttoken erstellt. Wenn das Sicherheitskontexttoken erstellt wurde, stellt der Sicherheitskanal eine ISession-Schnittstelle für die oberen Kanäle bereit. Weitere Informationen zur Verwendung sicherer Sitzungen finden Sie unter Gewusst wie: Erstellen einer sicheren Sitzung.

Der Standardwert ist true.
negotiateServiceCredential Optional. Ein boolescher Wert, der angibt, ob die Dienstanmeldeinformationen auf dem Client out-of-band bereitgestellt oder vom Dienst für den Client über einen Aushandlungsvorgang abgerufen werden. Eine solche Verhandlung ist Vorläufer zum üblichen Nachrichtenaustausch.

Wenn das clientCredentialType-Attribut „None“, „Username“ oder „Certificate“ lautet, wird durch Festlegen dieses Attributs auf false implizit angegeben, dass das Dienstzertifikat auf dem Client Out-of-Band verfügbar ist und dass der Client das Dienstzertifikat (unter Verwendung von <serviceCertificate>) im <serviceCredentials>-Dienstverhalten angeben muss. Dieser Modus ist mit SOAP-Stapeln interoperabel, die WS-Trust und WS-SecureConversation implementieren.

Wenn das ClientCredentialType-Attribut Windows lautet, wird durch Festlegen dieses Attributs auf false die Kerberos-basierte Authentifizierung angegeben. Dies bedeutet, dass Client und Dienst Teil der gleichen Kerberos-Domäne sein müssen. Dieser Modus ist mit SOAP-Stapeln interoperabel, die das Kerberos-Tokenprofil (gemäß der Definition in OASIS WSS TC) sowie WS-Trust und WS-SecureConversation implementieren.

Wenn dieses Attribut true lautet, wird eine .NET SOAP-Aushandlung verursacht, die den SPNego-Austausch über SOAP-Nachrichten tunnelt.

Der Standardwert ist true.

algorithmSuite-Attribut

Wert BESCHREIBUNG
Basic128 Verwendet Basic128-Verschlüsselung, Sha1 für den Nachrichtenhash und Rsa-oaep-mgf1p für Key Wrap.
Basic192 Verwendet Basic192-Verschlüsselung, Sha1 für den Nachrichtenhash und Rsa-oaep-mgf1p für Key Wrap.
Basic256 Verwendet Basic256-Verschlüsselung, Sha1 für den Nachrichtenhash und Rsa-oaep-mgf1p für Key Wrap.
Basic256Rsa15 Verwendet Basic256 für die Nachrichtenverschlüsselung, Sha1 für den Nachrichtenhash und Rsa15 für Key Wrap.
Basic192Rsa15 Verwendet Basic192 für die Nachrichtenverschlüsselung, Sha1 für den Nachrichtenhash und Rsa15 für Key Wrap.
TripleDes Verwendet TripleDes-Verschlüsselung, Sha1 für den Nachrichtenhash und Rsa-oaep-mgf1p für Key Wrap.
Basic128Rsa15 Verwendet Basic128 für die Nachrichtenverschlüsselung, Sha1 für den Nachrichtenhash und Rsa15 für Key Wrap.
TripleDesRsa15 Verwendet TripleDes-Verschlüsselung, Sha1 für den Nachrichtenhash und Rsa15 für Key Wrap.
Basic128Sha256 Verwendet Basic256 für die Nachrichtenverschlüsselung, Sha256 für den Nachrichtenhash und Rsa-oaep-mgf1p für Key Wrap.
Basic192Sha256 Verwendet Basic192 für die Nachrichtenverschlüsselung, Sha256 für den Nachrichtenhash und Rsa-oaep-mgf1p für Key Wrap.
Basic256Sha256 Verwendet Basic256 für die Nachrichtenverschlüsselung, Sha256 für den Nachrichtenhash und Rsa-oaep-mgf1p für Key Wrap.
TripleDesSha256 Verwendet TripleDes für die Nachrichtenverschlüsselung, Sha256 für den Nachrichtenhash und Rsa-oaep-mgf1p für Key Wrap.
Basic128Sha256Rsa15 Verwendet Basic128 für die Nachrichtenverschlüsselung, Sha256 für den Nachrichtenhash und Rsa15 für Key Wrap.
Basic192Sha256Rsa15 Verwendet Basic192 für die Nachrichtenverschlüsselung, Sha256 für den Nachrichtenhash und Rsa15 für Key Wrap.
Basic256Sha256Rsa15 Verwendet Basic256 für die Nachrichtenverschlüsselung, Sha256 für den Nachrichtenhash und Rsa15 für Key Wrap.
TripleDesSha256Rsa15 Verwendet TripleDes für die Nachrichtenverschlüsselung, Sha256 für den Nachrichtenhash und Rsa15 für Key Wrap.

clientCredentialType-Attribut

Wert Beschreibung
Keine Dies ermöglicht dem Dienst, mit anonymen Clients zu interagieren. Auf Dienstseite wird dadurch angegeben, dass der Dienst keine Clientanmeldeinformationen erfordert. Auf Clientseite wird dadurch angegeben, dass der Client keine Clientanmeldeinformationen bereitstellt.
Zertifikat Ermöglicht dem Dienst, die Forderung zu stellen, dass der Client über ein Zertifikat authentifiziert werden muss. Wenn der Nachrichtensicherheitsmodus verwendet wird und das negotiateServiceCredential-Attribut auf false gesetzt ist, muss dem Client das Dienstzertifikat zur Verfügung gestellt werden.
IssuedToken Gibt ein benutzerdefiniertes Token an, das in der Regel von einem Sicherheitstokendienst ausgegeben wird.
UserName Ermöglicht es dem Dienst, vom Client zu fordern, sich über eine UserName-Anmeldeinformation zu authentifizieren. Das Senden von Kennwortdigests, das Ableiten von Schlüsseln, in denen Kennwörter verwendet werden, sowie die Verwendung solcher Schlüssel für die Nachrichtensicherheit werden von WCF nicht unterstützt. WCF setzt prinzipiell durch, dass der Transport geschützt wird, wenn der Identitätsnachweis über UserName erfolgt. Dieser Modus führt entweder zu einem interoperablen Austausch oder zu einer nicht interoperablen Aushandlung basierend auf dem negotiateServiceCredential-Attribut.
Windows Dies ermöglicht SOAP-Austausch im Rahmen des authentifizierten Kontexts von Windows-Anmeldeinformationen. Wenn das negotiateServiceCredential-Attribut auf true festgelegt ist, wird entweder eine SSPI-Verhandlung oder Kerberos (ein interoperabler Standard) ausgeführt.

Untergeordnete Elemente

Keine

Übergeordnete Elemente

Element BESCHREIBUNG
<security> Definiert die Sicherheitseinstellungen für eine <wsHttpBinding>.

Siehe auch