Gewusst wie: Verwenden von Transportsicherheit und Nachrichtenanmeldeinformationen
Das Absichern eines Diensts mit Transport- und Nachrichtenanmeldeinformationen vereint die Vorteile der Transport- und Nachrichtensicherheitsmodi in Windows Communication Foundation (WCF). Während die Transport Layer Security (TLS) Integrität und Vertraulichkeit bietet, stellt die Message Layer Security (MLS) verschiedene Anmeldeinformationen bereit, die bei reinen Transportsicherheitsmechanismen nicht verfügbar sind. In diesem Thema werden die grundlegenden Schritte zur Implementierung des Transports mit Nachrichtenanmeldeinformationen mithilfe der WSHttpBinding-Bindung und der NetTcpBinding-Bindung veranschaulicht. Weitere Informationen zum Festlegen des Sicherheitsmodus finden Sie unter Gewusst wie: Festlegen des Sicherheitsmodus.
Wenn Sie den Sicherheitsmodus auf TransportWithMessageCredential festlegen, wird der tatsächliche Mechanismus, der die Sicherheitseinstellungen auf Transportebene bereitstellt, vom Transport bestimmt. Der Secure Sockets Layer (SSL)-Mechanismus über HTTP (HTTPS) wird für HTTP verwendet, wohingegen SSL über TCP oder Windows für TCP verwendet wird.
Wenn der Transport HTTP ist (unter Verwendung der WSHttpBinding), dann wird die Sicherheit auf Transportebene von SSL über HTTP bereitgestellt. In diesem Fall müssen Sie den Computer, der als Host für den Dienst fungiert, mit einem SSL-Zertifikat konfigurieren, das an einen Anschluss gebunden ist. Dies wird im weiteren Verlauf des Themas noch näher erläutert.
Wenn der Transport TCP ist (unter Verwendung der NetTcpBinding), wird für die Sicherheit auf Transportebene standardmäßig die Windows-Sicherheit bereitgestellt oder SSL über TCP wird verwendet. Wenn Sie SSL über TCP verwenden, müssen Sie das Zertifikat mit der SetCertificate-Methode angeben. Dies wird im weiteren Verlauf des Themas noch näher erläutert.
So verwenden Sie die WSHttpBinding mit einem Zertifikat für die Transportsicherheit (im Code)
Binden Sie ein SSL-Zertifikat mit dem Tool HttpCfg.exe an einen Anschluss auf dem Computer. Weitere Informationen finden Sie unter Gewusst wie: Konfigurieren eines Anschlusses mit einem SSL-Zertifikat.
Erstellen Sie eine Instanz der WSHttpBinding-Klasse, und legen Sie die Mode-Eigenschaft auf TransportWithMessageCredential fest.
Legen Sie die ClientCredentialType-Eigenschaft auf einen geeigneten Wert fest. (Weitere Informationen finden Sie unter Wählen eines Typs von Anmeldeinformationen.) Im folgenden Code wird der Certificate-Wert verwendet.
Erstellen Sie eine Instanz der Uri-Klasse mit einer entsprechenden Basisadresse. Dabei muss das HTTPS-Schema verwendet werden, und die Adresse muss den tatsächlichen Namen des Computers sowie die Nummer des Anschlusses enthalten, an den das SSL-Zertifikat gebunden ist. (Sie können die Basisadresse auch in der Konfiguration festlegen.)
Fügen Sie mit der AddServiceEndpoint-Methode einen Dienstendpunkt hinzu.
Erstellen Sie eine Instanz des ServiceHost, und rufen Sie die Open-Methode auf, wie im folgenden Code veranschaulicht.
So verwenden Sie die NetTcpBinding mit einem Zertifikat für die Transportsicherheit (im Code)
Erstellen Sie eine Instanz der NetTcpBinding-Klasse, und legen Sie die Mode-Eigenschaft auf TransportWithMessageCredential fest.
Legen Sie den ClientCredentialType auf einen geeigneten Wert fest. Im folgenden Code wird der Certificate-Wert verwendet.
Erstellen Sie eine Instanz der Uri-Klasse mit einer entsprechenden Basisadresse. Die Adresse muss das NET.TCP-Schema verwenden. (Sie können die Basisadresse auch in der Konfiguration festlegen.)
Erstellen Sie die Instanz der ServiceHost-Klasse.
Legen Sie das X.509-Zertifikat für den Dienst mit der SetCertificate-Methode der X509CertificateRecipientServiceCredential-Klasse explizit fest.
Fügen Sie mit der AddServiceEndpoint-Methode einen Dienstendpunkt hinzu.
Rufen Sie die Open-Methode auf, wie im folgenden Code veranschaulicht.
So verwenden Sie die NetTcpBinding mit Windows für die Transportsicherheit (im Code)
Erstellen Sie eine Instanz der NetTcpBinding-Klasse, und legen Sie die Mode-Eigenschaft auf TransportWithMessageCredential fest.
Legen Sie die Transportsicherheit auf Windows fest, indem Sie den ClientCredentialType auf Windows festlegen. (Dabei handelt es sich um die Standardeinstellung.)
Legen Sie den ClientCredentialType auf einen geeigneten Wert fest. Im folgenden Code wird der Certificate-Wert verwendet.
Erstellen Sie eine Instanz der Uri-Klasse mit einer entsprechenden Basisadresse. Die Adresse muss das NET.TCP-Schema verwenden. (Sie können die Basisadresse auch in der Konfiguration festlegen.)
Erstellen Sie die Instanz der ServiceHost-Klasse.
Legen Sie das X.509-Zertifikat für den Dienst mit der SetCertificate-Methode der X509CertificateRecipientServiceCredential-Klasse explizit fest.
Fügen Sie mit der AddServiceEndpoint-Methode einen Dienstendpunkt hinzu.
Rufen Sie die Open-Methode auf, wie im folgenden Code dargestellt:
Verwenden der Konfiguration
So verwenden Sie die WSHttpBinding
Konfigurieren Sie den Computer mit einem SSL-Zertifikat, das an einen Anschluss gebunden ist. (Weitere Informationen finden Sie unter Gewusst wie: Konfigurieren eines Anschlusses mit einem SSL-Zertifikat). Es ist nicht erforderlich, einen Wert für das <transport>-Element mit der Konfiguration festzulegen.
Geben Sie den Typ der Anmeldeinformationen für den Client bezüglich der Sicherheit auf Nachrichtenebene an. Im folgenden Beispiel wird das clientCredentialType-Attribut des <message>-Elements auf UserName festgelegt.
<wsHttpBinding> <binding name="WsHttpBinding_ICalculator"> <security mode="TransportWithMessageCredential" > <message clientCredentialType="UserName" /> </security> </binding> </wsHttpBinding>
So verwenden Sie die NetTcpBinding mit einem Zertifikat für die Transportsicherheit
Bei SSL über TCP müssen Sie das Zertifikat explizit im <behaviors>-Element angeben. Im folgenden Beispiel wird ein Zertifikat vom Aussteller am Standardspeicherort angegeben (lokaler Computer und persönlicher Speicher).
<behaviors> <serviceBehaviors> <behavior name="mySvcBehavior"> <serviceCredentials> <serviceCertificate findValue="contoso.com" x509FindType="FindByIssuerName" /> </serviceCredentials> </behavior> </serviceBehaviors> </behaviors>Fügen Sie dem Bindungsabschnitt ein netTcpBinding Element hinzu.
Fügen Sie ein Bindungselement hinzu, und legen Sie das name-Attribut auf einen geeigneten Wert fest.
Fügen Sie ein <security>-Element hinzu, und legen Sie das mode-Attribut auf TransportWithMessageCredential fest.
Fügen Sie ein <message>-Element hinzu, und legen Sie das clientCredentialType-Attribut auf einen geeigneten Wert fest.
<bindings> <netTcpBinding> <binding name="myTcpBinding"> <security mode="TransportWithMessageCredential" > <message clientCredentialType="Windows" /> </security> </binding> </netTcpBinding> </bindings>
So verwenden Sie die NetTcpBinding mit Windows für die Transportsicherheit
Fügen Sie dem Bindungsabschnitt ein netTcpBinding Element hinzu.
Fügen Sie ein <binding>-Element hinzu, und legen Sie das name-Attribut auf einen geeigneten Wert fest.
Fügen Sie ein <security>-Element hinzu, und legen Sie das mode-Attribut auf TransportWithMessageCredential fest.
Fügen Sie ein <transport>-Element hinzu, und legen Sie das clientCredentialType-Attribut auf Windows fest.
Fügen Sie ein <message>-Element hinzu, und legen Sie das clientCredentialType-Attribut auf einen geeigneten Wert fest. Im folgenden Code wird der Wert auf ein Zertifikat festgelegt.
<bindings> <netTcpBinding> <binding name="myTcpBinding"> <security mode="TransportWithMessageCredential" > <transport clientCredentialType="Windows" /> <message clientCredentialType="Certificate" /> </security> </binding> </netTcpBinding> </bindings>
Siehe auch
Aufgaben
Gewusst wie: Festlegen des Sicherheitsmodus