问题标签 [transport-security]

My scenario: I have a public facing web app hosted on Amazon EC2 servers. I have a self-hosted database server behind a firewall. I have self-hosted Web Service servers with a web service for data access. I want to allow only applications I approve (my own living in the cloud) to access the services and I don't want any data passed in clear-text.

From what I can tell reading all the disjointed and maddeningly obfuscated MSDN articles, Stackoverflow threads, Code Project articles, and other blogs. The type of security I need is: Transport Security mode with Certificate clientCredentialType, using wsHttpBinding. First question, am I right in assuming that? Will that give me enough security? This isn't B2B or anything like that. It is, however, cross domain and I just want to ensure I can trust the caller. My service is running in an AppPool owned by a specific user so I can access the DB with integrated security. I need to make sure only callers to my service that I approve get in. I don't need to encrypt the message anymore than SSL already does I don't believe.

All the scenarios possible make it very very difficult to know if this is what I want. But assuming it is the next question is how do I set up the Certs? I currently have a Certificate on the server, and I can only access with Https. (security mode="Transport", clientCredentialType="None"). But for the life of me I can't figure out what I need to do to change clientCredentialType to Certificate and get it to work.

• What do I give the client from the server and where does it go?
• What do I give the server from the client and where does it go?
• If I have several clients (a web farm) do I have to have a different client cert for all of them, or can they share one cert that my server accepts?

All development articles I read say that Cert setup is an Admin tool and beyond the scope of the article. Well, the WCF stuff is straightforward, it's exactly the friggin cert stuff I need help with, and there are no useful articles that I've found yet. Those that come close show how to do it with makecert.exe and say in production it will be different, but then don't say how to do it in production.

I'm sure my frustration level is showing, sorry about that. But it really makes no sense that there isn't a clear description on how to do what seems like a pretty common security scenario in WCF.

Any and all help appreciated, Ken

（哈！看看我在那里做了什么？）

我有一个系统，服务器将信息从中央数据库推送到许多客户端数据库（通过互联网跨域），并定期调用服务器上的服务。这必须承受间歇性连接，即队列消息。

我使用双工 MSMQ 创建了一个开发版本，我正在尝试应用传输安全性。从我所做的阅读来看，似乎是：

• MSMQ 使用 AD Windows Security，这是无关跨域的。
• 由于双工的性质，每个客户端实际上也是一个服务器。这意味着如果我想使用 SSL，每次我用另一个客户端安装系统时都需要支付 1200 美元。

这些事实是否正确？我真的是唯一需要保护排队、跨域和双工服务的人吗？

我正在尝试通过 Web 服务（SOAP）调用方法

我已经使用 JAX-WS 生成了 Web 服务客户端。

我只能通过传输级别的安全性访问 Web 服务。

我收到错误消息：

这是我的代码：

我正在执行的主要方法：

通过 JAX-WS 自动生成的类：

当我在类中调用此方法时，我得到了执行：'DummySubsForNetwork_Service'

谢谢，雷。

我有一个 WCF 网络服务，它使用NetTcpBinding带有传输安全性并clientCredientialType设置为none. 我没有使用此绑定在端点上指定身份。每次尝试调用服务上的方法都会导致以下错误：

客户端：

System.ServiceModel.Security.SecurityNegotiationException：对 SSPI 的调用失败，请参阅内部异常。

服务端：

System.ServiceModel.Security.SecurityNegotiationException：远程身份验证失败（流可能仍可用于其他身份验证尝试）。

System.ComponentModel.Win32Exception：目标主体名称不正确

对此的任何帮助表示赞赏

谢谢

Sj

我有一个在 IIS6 中托管的 WCF 服务。我正在尝试使用传输级安全性设置自定义用户名/密码身份验证。我已经设置了一个测试证书并让一个客户端通过 SSL 连接而没有指定身份验证，即：

我已经设置了一个具有消息安全性和客户端凭据类型“用户名”的自定义验证器，但我现在想将它与传输级安全性结合起来。当我设置了 web.config 时，当我尝试查看 WSDL 时，出现错误：“此服务的安全设置需要‘基本’身份验证，但托管此服务的 IIS 应用程序未启用它。”

以下是我的 web.config 的重要部分：

我应该在 IIS6 中设置什么来启用它吗？在 IIS 中，我一开始是启用了“启用匿名访问”选项。我还尝试启用“基本身份验证（密码以明文形式发送）”复选框，但没有成功。

我刚刚花了 2 天时间调试以下错误，所以我坚持我会分享我的发现。

场景是这样的：我有一个托管在 IIS7 上的 WCF 服务。该服务使用安全模式设置为 TransportCredentialOnly 的 basicHttpBinding。该网站启用了匿名身份验证和 Windows 身份验证。该网站的应用程序池在域帐户下运行，该帐户对网站的物理文件夹具有所有可能的权利。从 Internet Explorer 浏览服务的 .svc 是可行的，但是当我们尝试从客户端调用服务的方法时，我们收到错误：“HTTP 请求未经客户端身份验证方案协商”。此外，每次调用该方法时，IIS 日志都会显示 401.5 错误，这对于此安全设置来说是正常的，但它后面应该是 200，而这里不是这种情况。

最后，我们通过检查Default Website上的 Authentication 设置设法解决了这个问题。那里禁用了 Windows 身份验证。我们启用了它，服务开始工作。您会认为，网站设置会覆盖它，但它们不会。因此，请避免整天进行wiresharking，procmoning并检查此设置。

干杯!

我在使用传输安全的 IIS 上托管了 WCF 服务。我需要将 TLS 版本限制为 1.2。

我发现 Windows Server 2008 和 Windows 7 支持 TLS 1.2。

对于服务器的 Windows Server 2003 和客户端的 Windows Vista 和 XP，我能否将 TLS 的使用限制为 1.2 版？这些较旧的操作系统是否支持 1.2？

我一直在研究一个简单的 jsf 安全传输机制，其中配置的 https 约束在 web.xml 中设置为机密。现在，我想做的是选择一个特定的页面进行安全传输。我有一个登录页面，可以将我带到另一个页面。登录页面需要一个用户名和密码，并应通过安全层将其传输到一个 ejb，该 ejb 在显示请求的页面之前验证其真实性。现在当我使用像 / 这样的 url 模式时faces/pageToView.xhtml 对于 web.xml 中请求的页面，我得到了一个我不太理解的有趣行为。首先，当我登录时，我的 pageToView.xhtml 显示时没有 https，当我点击转到另一个 pageToView2.xhtml 我的第一个 pageToView.xhtml 使用 https 重新显示。即使我没有为安全传输配置它们，我导航到的所有其他页面不仅显示 https。我需要知道为特定页面配置安全传输行为的正确方法。提前致谢。

有谁知道如何使用 boost sockets 实现 tls ？我已经实现了 ssl，但我不介意将其扩展到 tls。

我有一个 WCF自托管服务，在Windows AzureNetTcpBinding上使用回调和传输安全，并带有生产证书和域重定向。

在更新我的开发人员许可证之前，一切正常。之后，我在 Reference.cs 文件中得到了这个异常：

为扩展 'Microsoft.VisualStudio.Diagnostics.ServiceModelSink.Behavior' 注册的类型 'Microsoft.VisualStudio.Diagnostics.ServiceModelSink.Behavior, Microsoft.VisualStudio.Diagnostics.ServiceModelSink, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a' 可以不被加载。

我的同事还没有更新她的开发许可证，一切对她来说仍然有效。

知道为什么会这样吗？