私は、ユーザー名とパスワードを使用してWCF認証について多くのことを読んできました。私はx509証明書を使用するときに私の頭の中でラウンドを取得していないのですか?WCFクライアント資格情報タイプ=ユーザー名、X509証明書を使用する場合
UsernameとPasswordを使用する場合、どのシナリオでX509を使用すべきですか?常に
- (何のシナリオでは?)依存
感謝を。
私は、ユーザー名とパスワードを使用してWCF認証について多くのことを読んできました。私はx509証明書を使用するときに私の頭の中でラウンドを取得していないのですか?WCFクライアント資格情報タイプ=ユーザー名、X509証明書を使用する場合
UsernameとPasswordを使用する場合、どのシナリオでX509を使用すべきですか?常に
感謝を。
通常、常に。
X.509証明書は、チャネルがセキュリティ保護されていることを保証します。サービスは、受信したユーザー名とパスワード(証明書が盗まれるまで)を読み取ることができます。
WCFの場合、トランスポートセキュリティ(HTTPS)用の証明書がオペレーティングシステムレベル(netsh.exeまたはIIS経由)でWCFの外部で構成されるため、メッセージセキュリティ用に証明書を構成する必要があります。
証明書を使用しない場合は、セキュリティで保護されたチャネルはなく、ユーザー名とパスワードはネットワーク上をプレーンテキストとして移動します。送信されたパケットを取得するユーザーは、盗まれたユーザー名とパスワード。
デフォルトでは、WCFはセキュリティで保護されていないチャネルにユーザー名とパスワードを送信することはできません。カスタムバインディングを作成する必要があります。
HTTPSだけを使用していただきありがとう@Ladislav Mrnka。それはユーザー名とパスワードを電線で暗号化しませんか? –
また、@ Ladislav Mrnka、この "トランスポートセキュリティ用の証明書(HTTPS)は、オペレーティングシステムレベル(netsh.exeまたはIISのいずれか)でWCFの外部で構成されています。 HTTPSが設定されている場合は、メッセージも保護されませんか? –
HTTPSを使用している場合、すでに証明書がある - HTTPSはSSL用の証明書を使用します。 HTTPSを使用している場合、メッセージは保護されます。 –