Подтвердить что ты не робот

Сертификаты X.509 по WCF?

Проблема:

Я разрабатываю эту программу на одной машине.

Сервис отлично работает на сервере разработки, но когда я пытаюсь разместить эту службу в IIS, это приводит к ошибке:

Не удается найти сертификат X.509, используя следующие критерии поиска: StoreName 'My', StoreLocation 'CurrentUser', FindType 'FindBySubjectName', FindValue 'WCFServer'.

Так или иначе, я могу это разрешить? Я пытаюсь использовать этот код из

http://www.codeproject.com/KB/WCF/9StepsWCF.aspx

создание сертификата

makecert.exe -sr CurrentUser -ss My -a sha1 -n CN=WCfServer -sky exchange -pe
makecert.exe -sr CurrentUser -ss My -a sha1 -n CN=WcfClient -sky exchange -pe

Сертификат присутствует в папке "Личные и доверенные лица" в MMC

Служба имеет одну функцию, которая принимает число и возвращает строку и отлично работает

Это мой сервис web.config:

<system.serviceModel>
    <bindings>
      <wsHttpBinding>
        <binding name="wsHttpEndpointBinding">
          <security>
            <message clientCredentialType="Certificate" />
          </security>
        </binding>
      </wsHttpBinding>
    </bindings>
    <services>
      <service name="WCFServiceCertificate.Service1" behaviorConfiguration="WCFServiceCertificate.Service1Behavior">
        <!-- Service Endpoints -->
        <endpoint address="" binding="wsHttpBinding" bindingConfiguration="wsHttpEndpointBinding" contract="WCFServiceCertificate.IService1">
          <!--
              Upon deployment, the following identity element should be removed or replaced to reflect the
              identity under which the deployed service runs.  If removed, WCF will infer an appropriate identity
              automatically.
          -->
          <!--<identity>
            <dns value="localhost"/>
          </identity>-->
        </endpoint>
        <endpoint address="mex" binding="mexHttpBinding" contract="IMetadataExchange"/>
      </service>
    </services>
    <behaviors>
      <serviceBehaviors>
        <behavior name="WCFServiceCertificate.Service1Behavior">
          <!-- To avoid disclosing metadata information, set the value below to false and remove the metadata endpoint above before deployment -->
          <serviceMetadata httpGetEnabled="true"/>
          <!-- To receive exception details in faults for debugging purposes, set the value below to true.  Set to false before deployment to avoid disclosing exception information -->
          <serviceDebug includeExceptionDetailInFaults="false"/>
          <serviceCredentials>
            <clientCertificate>
              <authentication certificateValidationMode="PeerTrust"/>
            </clientCertificate>
            <serviceCertificate findValue="WcfServer"
                                storeLocation="CurrentUser"
                                storeName="My"
                                x509FindType="FindBySubjectName" />
          </serviceCredentials>
        </behavior>
      </serviceBehaviors>
    </behaviors>
  </system.serviceModel>

Это моя конфигурация клиента

<system.serviceModel>
                <bindings>
   <wsHttpBinding>
    <binding name="WSHttpBinding_IService1" closeTimeout="00:01:00"
     openTimeout="00:01:00" receiveTimeout="00:10:00" sendTimeout="00:01:00"
     bypassProxyOnLocal="false" transactionFlow="false" hostNameComparisonMode="StrongWildcard"
     maxBufferPoolSize="524288" maxReceivedMessageSize="65536" messageEncoding="Text"
     textEncoding="utf-8" useDefaultWebProxy="true" allowCookies="false">
     <readerQuotas maxDepth="32" maxStringContentLength="8192" maxArrayLength="16384"
      maxBytesPerRead="4096" maxNameTableCharCount="16384" />
     <reliableSession ordered="true" inactivityTimeout="00:10:00"
      enabled="false" />
     <security mode="Message">
      <transport clientCredentialType="Windows" proxyCredentialType="None"
       realm="" />
      <message clientCredentialType="Certificate" negotiateServiceCredential="true"
       algorithmSuite="Default" establishSecurityContext="true" />
     </security>
    </binding>
   </wsHttpBinding>
  </bindings>
                <client>
   <endpoint address="http://localhost:1387/Service1.svc" behaviorConfiguration="CustomBehavior"
    binding="wsHttpBinding" bindingConfiguration="WSHttpBinding_IService1"
    contract="ServiceReference1.IService1" name="WSHttpBinding_IService1">
    <identity>
     <certificate encodedValue="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" />
    </identity>
   </endpoint>
  </client>
                <behaviors>
                        <endpointBehaviors>
                                <behavior name="CustomBehavior">
                                        <clientCredentials>
                                                <clientCertificate findValue="WcfClient"
                               x509FindType="FindBySubjectName"
                               storeLocation="CurrentUser"
                               storeName="My"/>
                                                <serviceCertificate>
                                                        <authentication certificateValidationMode="PeerTrust"/>
                                                </serviceCertificate>
                                        </clientCredentials>
                                </behavior>
                        </endpointBehaviors>
                </behaviors>
        </system.serviceModel>

и просто вызвать службу на стороне клиента, используя этот

 Service1Client obj = new Service1Client();
            Response.Write(obj.GetData(12));

Теперь, когда я запускаю все, все отлично работает без проблем.

Как вы можете выполнить службу на сервере разработки.

Но когда я пытаюсь разместить службу в IIS, это дает мне ошибку, которая

Не удается найти сертификат X.509, используя следующие критерии поиска: StoreName 'My', StoreLocation 'CurrentUser', FindType 'FindBySubjectName', FindValue 'WCFServer'.

Так или иначе, я могу это разрешить?

4b9b3361

ОТВЕТЫ

Ответ 1

Как упоминалось x0n, Cassini будет работать как ваш текущий пользователь, но IIS будет работать как IUSR. Импортируйте сертификат с закрытым ключом в LocalMachine\Personal (LocalMachine\My) и измените конфигурацию сервиса следующим образом:

        <serviceCertificate findValue="WcfServer"
                            storeLocation="CurrentUser"
                            storeName="My"
                            x509FindType="FindBySubjectName" />

Для этого:

        <serviceCertificate findValue="WcfServer"
                            storeLocation="LocalMachine"
                            storeName="My"
                            x509FindType="FindBySubjectName" />

Ответ 2

Установите сертификат в "Мой" для хранилища компьютеров, чтобы он был доступен для всех пользователей. У вас он установлен в "Мой" для текущего пользователя. Сервер разработки работает как текущий пользователь, поэтому он работает.

Ответ 3

Возможно, вам придется настроить значение dns, то есть имя сертификата, в клиенте > endopoint > indentity (как описано в приведенном ниже коде) 

<client>
        <endpoint address="http://localhost/FrontPMWebServiceSetup111/FpmService.svc"
          binding="wsHttpBinding" bindingConfiguration="WSHttpBinding_IService"
          contract="FPMServiceReference.IService" name="WSHttpBinding_IService">
          <identity>
            <dns value="WCfServer" />
          </identity>
        </endpoint>
      </client>

Ответ 4

Очевидно, что сертификат не найден в сконфигурированном местоположении. Убедитесь, что вы используете для запуска службы. Возможно, служба работает на локальной учетной записи системы или учетной записи локальной службы или на пользователя IIS, и вы установили сертификат как другой пользователь? в MMC добавьте snapin для просмотра сертификатов в учетной записи службы или другой учетной записи, которую вы используете для этой службы (не текущего пользователя).