WCF IIS 用户名消息安全 可能碰到的问题

小fish

　　在IIS 托管WCF其实很简单
　　在要提供服务的文件目录下新建一个*.SVC，内容类似
　　<%@ ServiceHost Language="C#" Debug="true" Service="Baice.eTerm.SearchService.Service.SearchTicket" %>
　　Baice.eTerm.SearchService.Service.SearchTicket（类名）
　　建立一个web.config,适当的配置，跟WCF有关的节点可以类似如下。
　　

　　<system.serviceModel>
　　<behaviors>
　　<serviceBehaviors>
　　<behavior name="searchTicketServieBehavior">
　　<serviceMetadata httpGetEnabled="True"/>
　　<serviceCredentials>
　　<serviceCertificate findValue="localhost"
　　storeLocation="LocalMachine"
　　storeName="My"
　　x509FindType="FindBySubjectName" />
　　</serviceCredentials>
　　</behavior>
　　</serviceBehaviors>
　　</behaviors>
　　<services>
　　<service behaviorConfiguration="searchTicketServieBehavior"
　　name="Baice.eTerm.SearchService.Service.SearchTicket">
　　<endpoint address=""
　　binding="wsHttpBinding"
　　bindingConfiguration="MessageAndUserName"
　　name="SecuredByTransportEndpoint"
　　contract="Baice.eTerm.SearchService.Contract.ITicketSearch" />
　　</service>
　　</services>
　　<bindings>
　　<wsHttpBinding>
　　<binding name="MessageAndUserName">
　　<security mode="Message">
　　<message clientCredentialType="UserName" />
　　</security>
　　</binding>
　　</wsHttpBinding>
　　</bindings>
　　<client />
　　</system.serviceModel>
　　建立一个bin目录，把需要的dll文件移入。
　　＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
　　接下来就是配置的事情，
　　用类似的命令
　　创建服务器证书
　　
　　
　　

　　echo ************
　　echo Server cert setup starting
　　echo %SERVER_NAME%
　　echo ************
　　echo making server cert
　　echo ************
　　makecert.exe -sr LocalMachine -ss MY -a sha1 -n CN=myService -sky exchange -pe
　　
　　将以上内容拷贝到文本文件，重命名为setup.bat，然后运行，
　　
　　将会创建证书。查看该证书用如下方法

　　

　　开始 > 运行 > MMC，打开一个空的MMC控制台。
　　l         在控制台菜单，文件 > 添加/删除管理单元 > 添加按钮 > 选&#8221;证书&#8221; > 添加 > 选&#8221;我的用户账户&#8221; > 关闭 > 确定
　　l         在控制台菜单，文件 > 添加/删除管理单元 > 添加按钮 > 选&#8221;证书&#8221; > 添加 > 选&#8221;计算机账户&#8221; > 关闭 > 确定
　　
　　就可以看到您的证书了，我的证书过期日期是2040年。
　　
　　
　　接着要给IIS一个访问证书的权限，
　　echo ************
　　echo setting privileges on server certificates
　　echo ************
　　for /F "delims=" %%i in ('"%ProgramFiles%\ServiceModelSampleTools\FindPrivateKey.exe" My LocalMachine -n CN^=%SERVER_NAME% -a') do set PRIVATE_KEY_FILE=%%i
　　set WP_ACCOUNT=NT AUTHORITY\NETWORK SERVICE
　　(ver | findstr /C:"5.1") && set WP_ACCOUNT=%COMPUTERNAME%\ASPNET
　　echo Y|cacls.exe "%PRIVATE_KEY_FILE%" /E /G "%WP_ACCOUNT%":R
　　iisreset
　　
　　如果提示类似的错误： 该进程必须具有访问私钥的权限，必须具有能够进行密钥交换的私钥
　　
　　您可以进入
　　
　　Win Xp /2003 在 C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA
　　Win Vista  /2008 在C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\ （参考上面那个也可以， 开头的换成  C:\Users\)
　　
　　给IIS运行用户设定适当的权限。
　　
　　'X.509 certificate CN=MyServerCert 链生成失败。所使用的证书具有无法验证的信任链。请替换该证书或更改 certificateValidationMode。已处理证书链，但是在不受信任提供程序信任的根证书中终止'，WCF无法验证测试证书的信任链，
　　
　　客户端引用：System.IdentityModel
　　新建类似如下的类
　　
　　using System.IdentityModel.Selectors;
　　using System.IdentityModel.Tokens;
　　using System.Security.Cryptography.X509Certificates;
　　
　　
　　namespace ClientWeb.CustomX509Validator
　　{
　　    /// <summary>
　　    /// Implements the validator for X509 certificates.
　　    /// </summary>
　　    public class MyX509Validator: X509CertificateValidator
　　    {
　　        /// <summary>
　　        /// Validates a certificate.
　　        /// </summary>
　　        /// <param name="certificate">The certificate the validate.</param>
　　        public override void Validate(X509Certificate2 certificate)
　　        {
　　            // validate argument
　　            if (certificate == null)
　　                throw new ArgumentNullException("X509认证证书为空！");
　　
　　        }
　　    }
　　
　　修改客户端配置：
　　<behaviors>
　　            <endpointBehaviors>
　　                <behavior name="myClientBehavior">
　　                    <clientCredentials>
　　                        <serviceCertificate>
　　                            <authentication certificateValidationMode="Custom" customCertificateValidatorType="ClientWeb.CustomX509Validator.MyX509Validator,ClientWeb" />
　　                        </serviceCertificate>
　　                    </clientCredentials>
　　                </behavior>
　　            </endpointBehaviors>
　　        </behaviors>
　　
　　并在'endpoint'节中指定behaviorConfiguration="myClientBehavior"。
　　
　　
　　最后在IIS转WINFORM委托的时候又碰到 问题，类似错误是：基址等，由于前面的配置可能有些省略了，经过认真比照才发现需要加如下的节点在服务端。
　　
　　<host>
　　<baseAddresses>
　　<add baseAddress="http://localhost:9191/TicketSearch"/>
　　</baseAddresses>
　　</host>
　　
　　现在WCF能跑了。该文章主要是记录整个学习过程碰到的各种错误，如果您是系统的学习也许碰不到这样的错误，见笑了！