Gewusst wie: Erstellen eines Dienstes, der ein benutzerdefiniertes Zertifikats-Validierungssteuerelement verwendet
In diesem Thema wird gezeigt, wie Sie ein benutzerdefiniertes Zertifikats-Validierungssteuerelement implementieren und wie Sie Anmeldeinformationen für Clients oder Dienste konfigurieren, um die standardmäßige Zertifikatüberprüfungslogik durch das benutzerdefinierte Zertifikats-Validierungssteuerelement zu ersetzen.
Wenn das X.509-Zertifikat verwendet wird, um einen Client oder Dienst zu authentifizieren, nutzt Windows Communication Foundation (WCF) standardmäßig den Windows-Zertifikatspeicher und die Kryptografie-API, um das Zertifikat zu überprüfen und sicherzustellen, dass es vertrauenswürdig ist. Es kann vorkommen, dass die integrierten Funktionen zur Zertifikatsvalidierung nicht ausreichen und geändert werden müssen. WCF bietet eine einfache Möglichkeit zum Ändern der Validierungslogik, indem es Benutzern erlaubt wird, ein benutzerdefiniertes Zertifikats-Validierungssteuerelement hinzuzufügen. Wenn Sie ein benutzerdefiniertes Zertifikats-Validierungssteuerelement angeben, verwendet WCF nicht die integrierte Validierungslogik für Zertifikate, sondern nutzt stattdessen das benutzerdefinierte Validierungssteuerelement.
Prozeduren
So erstellen Sie ein benutzerdefiniertes Zertifikats-Validierungssteuerelement
Definieren Sie eine neue Klasse, die von X509CertificateValidator abgeleitet ist.
Implementieren Sie die abstrakte Validate-Methode. Das Zertifikat, das überprüft werden muss, wird als Argument an die Methode übergeben. Wenn das übergebene Zertifikat gemäß der Validierungslogik nicht gültig ist, löst diese Methode eine SecurityTokenValidationException aus. Wenn das Zertifikat gültig ist, gibt die Methode einen Wert an den Aufrufer zurück.
Tipp
Um dem Client Authentifizierungsfehler zurückzugeben, lösen Sie in der Validate-Methode eine FaultException aus.
So geben Sie bei der Dienstkonfiguration ein benutzerdefiniertes Zertifikats-Validierungssteuerelement an
Fügen Sie dem <system.ServiceModel>-Element ein <behaviors>-Element und ein serviceBehaviors section-Element hinzu.
Fügen Sie ein Behavior element-Element hinzu, und legen Sie das name-Attribut auf einen entsprechenden Wert fest.
Fügen Sie dem <behavior>-Element ein <serviceCredentials> Element-Element hinzu.
Fügen Sie dem <serviceCredentials>-Element ein <clientCertificate>-Element hinzu.
Fügen Sie dem <clientCertificate>-Element ein <authentication> of <clientCertificate> Element-Element hinzu.
Legen Sie das customCertificateValidatorType-Attribut auf den Validierungssteuerelementtyp fest. Im folgenden Beispiel wird das Attribut auf den Namespace und den Namen des Typs festgelegt.
Legen Sie das certificateValidationMode-Attribut auf Custom fest.
<configuration> <system.serviceModel> <behaviors> <serviceBehaviors> <behavior name="ServiceBehavior"> <serviceCredentials> <clientCertificate> <authentication certificateValidationMode="Custom" customCertificateValidatorType="Samples.MyValidator, service" /> </clientCertificate> </serviceCredentials> </behavior> </serviceBehaviors> </behaviors> </system.serviceModel> </configuration>
So geben Sie ein benutzerdefiniertes Zertifikats-Validierungssteuerelement an, indem Sie die Konfiguration auf dem Client verwenden
Fügen Sie dem <system.ServiceModel>-Element ein <behaviors>-Element und ein serviceBehaviors section-Element hinzu.
Fügen Sie ein <endpointBehaviors>-Element hinzu.
Fügen Sie ein <behavior>-Element hinzu, und legen Sie das name-Attribut auf einen passenden Wert fest.
Fügen Sie ein <clientCredentials>-Element hinzu.
Fügen Sie ein <serviceCertificate> of <clientCredentials> Element hinzu.
Fügen Sie wie im folgenden Beispiel gezeigt ein <authentication> of <serviceCertificate> Element hinzu.
Legen Sie das customCertificateValidatorType-Attribut auf den Validierungssteuerelementtyp fest.
Legen Sie das certificateValidationMode-Attribut auf Custom fest. Im folgenden Beispiel wird das Attribut auf den Namespace und den Namen des Typs festgelegt.
<configuration> <system.serviceModel> <behaviors> <endpointBehaviors> <behavior name="clientBehavior"> <clientCredentials> <serviceCertificate> <authentication certificateValidationMode="Custom" customCertificateValidatorType= "Samples.CustomX509CertificateValidator, client"/> </serviceCertificate> </clientCredentials> </behavior> </endpointBehaviors> </behaviors> </system.serviceModel> </configuration>
So geben Sie ein benutzerdefiniertes Zertifikats-Validierungssteuerelement an, indem Sie Code auf der Dienstseite verwenden
Geben Sie das benutzerdefinierte Zertifikats-Validierungssteuerelement über die ClientCertificate-Eigenschaft an. Sie können auf die Dienstanmeldeinformationen mit der Credentials-Eigenschaft zugreifen.
Legen Sie die CertificateValidationMode-Eigenschaft auf Custom fest.
So geben Sie ein benutzerdefiniertes Zertifikats-Validierungssteuerelement an, indem Sie Code auf der Clientseite verwenden
Geben Sie das benutzerdefinierte Zertifikats-Validierungssteuerelement über die CustomCertificateValidator-Eigenschaft an. Sie können auf die Clientanmeldeinformationen mit der Credentials-Eigenschaft zugreifen. (Die vom ServiceModel Metadata Utility Tool (Svcutil.exe) generierte Clientklasse leitet sich immer von der ClientBase-Klasse ab.)
Legen Sie die CertificateValidationMode-Eigenschaft auf Custom fest.
Beispiel
Beschreibung
Das folgende Beispiel zeigt eine Implementierung eines benutzerdefinierten Zertifikats-Validierungssteuerelements und seine Verwendung für den Dienst.