Vorgehensweise: Angeben der Zertifizierungsstellenzertifikatskette, die verwendet wird, um Signaturen (WCF) zu überprüfen
Wenn Windows Communication Foundation (WCF) eine mit einem X.509-Zertifikat signierte SOAP-Nachricht empfängt, wird standardmäßig überprüft, ob das X.509-Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Dies erfolgt, indem ein Zertifikatspeicher überprüft und bestimmt wird, ob das Zertifikat für diese Zertifizierungsstelle als vertrauenswürdig bestimmt wurde. Damit diese Bestimmung durch WCF erfolgen kann, muss die Zertifizierungsstellenzertifikatkette im richtigen Zertifikatspeicher installiert werden.
So installieren Sie eine Zertifizierungsstellenzertifikatkette
Installieren Sie für jede Zertifizierungsstelle, deren ausgestellte X.509-Zertifikate ein SOAP-Nachrichtenempfänger als vertrauenswürdig behandeln möchte, die Zertifizierungsstellenzertifikatkette in dem Zertifikatspeicher, von dem WCF aufgrund der Konfiguration X.509-Zertifikate abrufen kann.
Wenn z. B. ein SOAP-Nachrichtenempfänger von Microsoft ausgestellte X.509-Zertifikate als vertrauenswürdig behandeln möchte, muss die Zertifizierungsstellenzertifikatkette für Microsoft in dem Zertifikatspeicher installiert werden, in dem WCF aufgrund der Einrichtung nach X.509-Zertifikaten sucht. Der Zertifikatspeicher, in dem WCF nach X.509-Zertifikaten sucht, kann im Code oder in der Konfiguration festgelegt werden. Dies kann z. B. im Code mithilfe der SetCertificate-Methode oder in der Konfiguration auf verschiedene Arten erfolgen, einschließlich mithilfe von <serviceCertificate>.
Da Windows mit einem Satz an Standardzertifikatsketten für vertrauenswürdige Zertifizierungsstellen geliefert wird, ist es u. U. nicht erforderlich, die Zertifikatskette für alle Zertifizierungsstellen zu installieren.
Exportieren Sie die Zertifizierungsstellenzertifikatkette.
Wie dies genau erfolgt, hängt von der Zertifizierungsstelle ab. Wenn bei der Zertifizierungsstelle Microsoft-Zertifikatdienste ausgeführt werden, wählen Sie Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Zertifikatsperrliste aus, und wählen Sie dann Download des Zertifizierungsstellenzertifikats.
Importieren Sie die Zertifizierungsstellenzertifikatkette.
Öffnen Sie das Zertifikats-Snap-in in der Microsoft Management Console (MMC). Wählen Sie für den Zertifikatsspeicher, von dem WCF aufgrund der Konfiguration X.509-Zertifikate abruft, den Ordner Trusted Root Certification Authorities aus. Klicken Sie mit der rechten Maustaste unter dem Ordner Vertrauenswürdige Stammzertifzierungsstellen auf den Ordner Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie anschließend auf Importieren. Geben Sie die in Schritt a exportierte Datei an.
Weitere Informationen zur Verwendung des Zertifikat-Snap-Ins mit MMC finden Sie unter Vorgehensweise: Anzeigen von Zertifikaten mit dem MMC-Snap-In.