没有证书和windows身份验证的WCF消息安全性
没有证书和windows身份验证的WCF消息安全性
提问于 2009-10-15 08:05:51
我有一个WCF服务和客户端,这将部署到几个公司(数百)。一些公司将在他们的网络中运行软件,一些公司将在互联网上运行它(WCF服务器在办公室,WCF客户端在另一个)。
我们希望对WCF服务器和客户端之间的通信进行加密。我们不需要使用WCF安全来验证有效/订阅者,因为我们有自己的用户名/密码登录,客户端将使用它来登录服务器。
- 我们不能依赖Windows身份验证,因为有些用户会在互联网上运行它,而WCF服务器可能与WCF客户端不在同一个域上。
- 如果我们使用“真正的”证书*,运行该软件的公司将必须从CA购买证书并安装它,然后配置我们的软件才能使用它,但这对大多数公司来说太复杂了。
- 我们可以在安装WCF服务器的过程中自动创建证书,但之后我们必须自动将其安装到证书存储中,并以某种方式自动授予IIS读取证书的权限。这比我们想象的要复杂得多。
简而言之,我们想要一个简单的解决方案,其中加密只是基于一个共享的秘密,在我们的例子中,是用户登录时使用的用户名/密码。我确实理解这不会给出最好的可用加密,但我们愿意牺牲一些安全性来使软件更容易部署。
这个是可能的吗?
*对于“真正的”证书,我指的是从证书颁发机构购买的证书,而不是我自己创建/自签名的证书。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/1570939
复制相关文章
相似问题