SSL Server-seitiges Zertifikat auf dem Clientcomputer?

Question

Es gibt einen Server mit WCF-Client, der regelmäßig die Kommunikation über das Internet mit vielen WCF-Diensten initiiert, die auf unseren Client-Computern installiert sind. WCF-Dienste und WCF-Clients werden im Windows-Dienst gehostet, die aktuelle Bindung ist basicHttpBinding.

Kommunikation muss über https mit gegenseitiger Authentifizierung sein. Das Unternehmen hat ein SSL-Zertifikat bestellt, aber es ist nicht klar, ob dieses Zertifikat auf Clientcomputern installiert werden kann (da der WCF-Dienst vorhanden ist), ohne dass ein privater Schlüssel verfügbar gemacht wird. Die Bindung kann basicHttpBinding oder wcHttpBinding mit Transport- oder Nachrichtensicherheit sein, jedoch unter Verwendung von Zertifikaten.

Ist es möglich, das serviceseitige Zertifikat auf Clientcomputern und das clientseitige Zertifikat auf unserem Server zu installieren? Sollte diese Architektur überarbeitet werden, damit der WCF-Dienst auf unserem Server verfügbar ist oder ist es möglich, diese aktuelle Lösung irgendwie zu sichern?

Answer 1

Jeder benötigte Computer benötigt sein eigenes Zertifikat. Ein Zertifikatwert für die Authentifizierung basiert auf der Eindeutigkeit des privaten Schlüssels. Der private Schlüssel verlässt niemals den Hostcomputer, und das Zertifikat kann zur Authentifizierung des Computers verwendet werden (weil es der einzige auf der Welt ist, der diesen privaten Schlüssel besitzt). Sobald Sie beginnen, Kopien eines privaten Schlüssels zu verteilen, ist die Sicherheit ziemlich beeinträchtigt.

Normalerweise beruht diese Bereitstellung auf einer PKI-Infrastruktur, die Zertifikate bei Bedarf erstellen und sie mit einem vertrauenswürdigen Schlüssel signieren kann.

Für welches Produkt/Protokoll die Zertifikate verwendet werden ist irrelevant. Welche Art von WCF-HTTP-Bindung Sie verwenden, hängt nicht davon ab.