重温WCF之WCF传输安全（十三）（4）基于SSL的WCF对客户端采用证书验证（转）

转载地址：http://www.cnblogs.com/lxblog/archive/2012/09/20/2695397.html

前一篇我们演示了基于SSL的WCF 对客户端进行用户名和密码方式的认证，本篇我们演示一下服务器端对客户端采用X.509证书的认证方式是如何实现的。

项目结构及服务代码和前两篇代码是基本一样的，为了大家看着方便，再从头到尾进行一下演示。

一、制作证书：

本次制作证书和第一篇略有不一样，主要为了演示证书的信任链关系，我们首先创建一个证书作为证书认证中心(CA)的根证书，我们还是利用MakeCert命令创建。在“开始”菜单中打开—>Microsoft Visual Studio 2010->Visual Studio 命令提示。

输入：makecert -n "CN=LXCA" -r -sv D:\LXCA.pvk D:\LXCA.cer

这时候会弹出 “创建私钥密码”对话框 和 “输入私钥密码”对话框，我们都输入密码“123456”。（这个密码的作用就是今后对证书进行导入，导出等操作的时候，输入的密码），命令提示成功后，这时候会在我的计算机D盘生成两个文件 LXCA.pvk  和 LXCA.cer。

这里说明一下，证书中三种常用的文件格式：.pvk 文件：私钥文件；.cer 公钥文件；还用一种扩展名为.pfx 文件是包含公钥和私钥的密钥交换文件。

然后我们输入命令：makecert -n "CN=Lx-PC" -ic D:\LXCA.cer -iv D:\LXCA.pvk -sr LocalMachine -ss My -pe -sky exchange

在弹出的 “输入私钥密码” 对话框中输入"123456"之后，提示创建成功。这就是我们的服务器端的证书（至于为什么输入我本机的计算机名CN=Lx-PC，我们前文有讲解），我们可以在运行MMC，在证书管理单元中看到该证书：

我们双击我们创建的这个证书，打开 “详细信息” 标签可以查看到证书的指纹，我们记录下来，我的这个证书的指纹是：f5ccc32b77d5d12922e162a289c80c7e95d615ea

下面和原来一样，将证书与计算机的端口进行绑定，在win7 下，依然使用 netsh 命令（netsh命令位于C:\Windows\System32 下），我们运行该命令，并输入：

http add sslcert ipport=0.0.0.0:9000 certhash=f5ccc32b77d5d12922e162a289c80c7e95d615ea appid={BFC5621F-EF33-4009-AD7E-51EDDAEC4321}

这样我们的证书就和9000端口绑定好了，如何对这两个命令有疑问，请点击这里，对这两个命令和用法有详细的介绍。

到这里，服务器端证书就创建好了，我们还需要将证书的颁发者 LXCA 纳入到 “受信任的根证书颁发结构” 中（这一步主要是为了解决客户端调用的时候产生的信任关系的问题，前文已有介绍）。我们 在MMC 证书管理单元中，在 ”受信任的根证书颁发机构” 节点右击，选择 “所有任务” -->“导入证书”，文件选择D盘的 LXCA.cer 即可，如下图：

之后，我们需要创建两个客户端用到的证书，命令同制作服务器端证书一样：

Makecert -n "CN=Client1-PC" -ic D:\LXCA.cer -iv D:\LXCA.pvk -sr CurrentUser -ss My -pe -sky exchange

Makecert -n "CN=Client2-PC" -ic D:\LXCA.cer -iv D:\LXCA.pvk -sr CurrentUser -ss My -pe -sky exchange

我们创建两个客户端证书Client1-PC 和Client2-PC ，并放到 “当前用户” 的存储区，因为在实际项目中，客户端的证书一般都存储在当前用户下，我们可以在MMC 证书管理单元中看到：

并记录下两个证书的指纹（后面要用到）：

Client1-PC 指纹：4df6765861ca5b393127e4aea2d9dffc02ef7346
Client2-PC 指纹：5cd0b75bd54092f022e9c48eb971879dcbdc29c2

二、程序演示

同样看一下项目结构，结构和服务代码和前面几篇用到的一样：

1、  程序集 LxContracts（包括服务的数据契约Books.cs和操作契约IBookContract.cs）需要添加引用System.Runtime.Serialization 和System.ServiceModel：

Books.cs 代码

IBookContract.cs 代码

2、  程序集LxServices（包括服务类BookService.cs），需要引用项目中的程序集LxContracts：

BookService.cs 代码

3、 程序集 Host_Server 是WCF服务的控制台宿主程序，需要引用 System.ServiceModel 和项目中LxContracts 程序集与 LxServices程序集：

Program.cs 代码

App.config 配置文件代码

注意：<transport clientCredentialType="Certificate"/> 我们对客户端的认证方式修改成为了 Certificate

4、我们为项目添加一个Client1 控制台客户端程序，在启动 Host_Server 的情况下，我们添加服务引用：“https://lx-pc:9000/mex” ,服务引用命名为：“WCF.BookSrv”，并点击 “高级” 将集合类型选择为System.Collections.Generic.List。服务引用添加好之后，我们编写调用代码如下：

生成之后，启动服务器端 Host_Server,我们运行一下客户端Client1，报错，如下图所示：

因为我们在服务器端对客户端的认证方式为 Certificate，因此我们的客户端必须要提供一个证书，才能正常访问我们的服务，我们需要修改一下客户端Client1的 app.config 配置文件，在终结点的行为中指定我们客户端的证书，如下：

Client1 App.config 配置文件代码

再次运行客户端Client1，发现服务调用成功：

我们在解决方案中再添加一个Client2的控制台客户端，代码和Client1 一样，只不过配置文件中我们使用的是证书Client2-PC。我们运行Client2 发现服务也调用成功：

既然这样的话，我们能不能像自定义用户名和密码认证一样，对证书也进行检验呢。比如我们让服务对客户端证书进行认证的时候，让持有证书 Client1-PC 的客户端 不能访问，但可以让持有证书 Client2-PC 的客户端访问呢，是可以的，下面我们对服务进行一下改进

5、自定义客户端的认证：

我们依然需要对 LxService 程序集添加引用 System.IdentityModel 和System.IdentityModel.Selectors ，然后在该程序集中添加一个自定义证书的验证类 CustomCertificateVerification 并使其继承 X509CertificateValidator ，重写父类的 Validate 方法。在这个方法中，根据证书的指纹来对客户端提供的证书进行检验。

CustomCertificateVerification.cs 代码

之后，我们修改一下宿主程序Host_Server 的App.config 配置文件，将原来的

<serviceCredentials>
     <serviceCertificate storeName="My" x509FindType="FindBySubjectName" findValue="Lx-PC" storeLocation="LocalMachine"/>
</serviceCredentials>

修改为：

 <serviceCredentials>
       <serviceCertificate storeName="My" x509FindType="FindBySubjectName" findValue="Lx-PC" storeLocation="LocalMachine"/>
       <clientCertificate>
            <authentication certificateValidationMode="Custom"  customCertificateValidatorType="LxServices.CustomCertificateVerification,LxServices"/>
       </clientCertificate>
</serviceCredentials>

使我们自定义的证书验证类生效。

我们重新生成一下代码，打开宿主程序Host_Server 的生成目录Bin/Debug，直接运行Host_Server.exe（不要调试运行，否则服务器端会抛出异常）。然后运行Client1 客户端，我们会发现 客户端 Client1 已经无法调用服务了：

我们运行一下客户端Client2，发现服务依然能够调用成功：

三、总结：

基于SSL的WCF传输安全实践，我们基本演示完成了，分别包括的匿名客户端访问，自定义用户名和密码客户端验证，使用X.509证书方式的客户端验证，在学习这方面知识的时候，自己查找了很多资料，再此将这些开发的步骤和关键点记录下来和大家分享，不足之处，希望大家多多指正。