1. дома
  2. Вопрос и ответ
  3. Сертификаты службы Windows Identity Foundation WCF

Сертификаты службы Windows Identity Foundation WCF

2011-04-22 7 views
2

Я недавно установил службу WCF против STS с использованием WIF, я пытаюсь понять необходимые сертификаты и то, что они влияют, у меня есть сертификат против IIS, позволяющий передавать HTTPS, но в конфигурации STS там является ссылкой на еще два сертификата. напримерСертификаты службы Windows Identity Foundation WCF

<appSettings> 
    <add key="SigningCertificateName" value="CN=STSTestCert"/> 
    <add key="EncryptingCertificateName" value="CN=DefaultApplicationCertificate"/> 
</appSettings>

В документации MSDN (http://msdn.microsoft.com/en-us/library/ee748498.aspx) говорится

СТС использует сертификат по умолчанию для подписи маркеров он выдает. Этот сертификат называется «STSTestCert», и он автоматически добавляется в хранилище сертификатов для использования STS. Файл сертификата присутствует в проекте STS. Пароль для файла - «STSTest». Это не должно использоваться в производственных упражнениях. Вы можете заменить сертификат по умолчанию на любой другой сертификат

Мой вопрос: что такое сертификат подписи и сертификат шифрования, который использовался и какие подходящие сертификаты для публичной службы? Нужно ли мне 3 разных?

источник

2011-04-22 rosco

ответ

3

Претензии, связанные с созданием WIF, передаются через токены.

Каждый токен подписан, чтобы доказать, что он исходил от ожидаемого STS.

AFAIK, нет способа удалить подписанный компонент токена (что имеет смысл, поскольку в противном случае какая-либо третья сторона могла бы сгенерировать их и «притвориться», что они пришли из STS).

Эти жетоны также могут быть зашифрованы. Если вы используете https, все сообщение будет зашифровано сертификатом IIS, и сам токен будет зашифрован с помощью сертификата шифрования WIF. Шифрование токена является необязательным. Когда вы используете FedUtil, один из вопросов: «Вы хотите шифрование токена?». Если вы скажете «Нет», он не зашифрован. Если вы скажете «Да», оно зашифровано, и вас попросят получить сертификат.

Если вы хотите, вы можете использовать тот же сертификат для шифрования и подписания токена. С точки зрения безопасности имеет смысл использовать два.

Таким образом, «наиболее безопасное» решение будет использовать три сертификата.

Вы получаете сертификаты обычным способом от доверенного эмитента.

источник

2011-04-26 20:28:42 nzpcmad

Смежные вопросы

 Смежные вопросы