Ich habe eine Client/Server WCF-Anwendung, die eine Art Benutzerauthentifizierung gegen eine Datenbank benötigt. Die Anwendung (sowohl Client als auch Server zusammen) wird entwickelt, um an Dutzende von Kunden für die Verwendung in ihren Intranets verkauft zu werden. Wir sind nicht allzu besorgt über die Verschlüsselung der meisten Daten, die über die Leitung übertragen werden, außer natürlich während der Authentifizierung.WCF, Sicherheit und Zertifikate
Wenn ich über WCF-Sicherheit nachdenke, komme ich immer wieder auf die Idee zurück, dass wir x509-Zertifikate verwenden sollten. Unsere Kunden werden jedoch keinesfalls Details über die Beantragung, den Kauf und die Installation dieser Zertifikate wissen wollen.
Ich würde gerne zuerst wissen, was die bevorzugte Methode der Implementierung von Benutzername/Passwort-Authentifizierung in diesem Szenario ist. Wenn der Einsatz von Zertifikaten erforderlich ist, muss der Kunde eigene Zertifikate von einer vertrauenswürdigen Zertifizierungsstelle beantragen, oder können wir als Softwareanbieter Zertifikate erstellen, die der Kunde verwenden kann?
Wirklich ich bin auf der Suche nach einer Best Practice, mit der geringsten Reibung für unsere Kunden.
Danke!
Bearbeiten: Ich verwende NetTcpBinding, und mein Server läuft als Windows-Dienst.
Danke! Etwas, das ich vergessen habe zu erwähnen, ist, dass ich NetTcpBinding verwende. Denken Sie auch daran, dass der Server auch für mehrere Kunden bereitgestellt wird, was die Hauptursache für mein Problem in Bezug auf Zertifikate ist. – chris
OK aktualisiert die Antwort – blowdart