Partager via

Sécurité des messages anonyme

L’exemple Message Security Anonymous montre comment implémenter une application Windows Communication Foundation (WCF) qui utilise la sécurité au niveau du message sans authentification cliente, mais qui nécessite une authentification serveur à l’aide du certificat X.509 du serveur. Tous les messages d’application entre le client et le serveur sont signés et chiffrés. Cet exemple est basé sur l’exemple WSHttpBinding . Cet exemple se compose d’un programme de console client (.exe) et d’une bibliothèque de services (.dll) hébergée par Internet Information Services (IIS). Le service implémente un contrat qui définit un modèle de communication de demande-réponse.

Remarque

La procédure d’installation et les instructions de génération de cet exemple se trouvent à la fin de cette rubrique.

Cet exemple ajoute une nouvelle opération à l’interface de calculatrice qui retourne True si le client n’a pas été authentifié.

public class CalculatorService : ICalculator
{
    public bool IsCallerAnonymous()
    {
        // ServiceSecurityContext.IsAnonymous returns true if the caller is not authenticated.
        return ServiceSecurityContext.Current.IsAnonymous;
    }
    ...
}

Le service expose un point de terminaison unique pour communiquer avec le service, défini à l’aide d’un fichier de configuration (Web.config). Le point de terminaison se compose d'une adresse, d'une liaison et d'un contrat. La liaison est configurée avec une wsHttpBinding liaison. Le mode de sécurité par défaut de la wsHttpBinding liaison est Message. L’attribut clientCredentialType est défini sur None.

<system.serviceModel>

  <protocolMapping>
    <add scheme="http" binding="wsHttpBinding" />
  </protocolMapping>

  <bindings>
    <wsHttpBinding>
     <!-- This configuration defines the security mode as Message and -->
     <!-- the clientCredentialType as None. This mode provides -->
     <!-- server authentication only using the service certificate. -->

     <binding>
       <security mode="Message">
         <message clientCredentialType="None" />
       </security>
     </binding>
    </wsHttpBinding>
  </bindings>
  ...
</system.serviceModel>

Les informations d’identification à utiliser pour l’authentification de service sont spécifiées dans le <comportement>. Le certificat de serveur doit contenir la même valeur SubjectName que la valeur spécifiée pour l’attribut findValue , comme indiqué dans l’exemple de code suivant.

<behaviors>
  <serviceBehaviors>
    <behavior>
      <!--
    The serviceCredentials behavior allows you to define a service certificate.
    A service certificate is used by a client to authenticate the service and provide message protection.
    This configuration references the "localhost" certificate installed during the setup instructions.
    -->
      <serviceCredentials>
        <serviceCertificate findValue="localhost" storeLocation="LocalMachine" storeName="My" x509FindType="FindBySubjectName" />
      </serviceCredentials>
      <serviceMetadata httpGetEnabled="True"/>
      <serviceDebug includeExceptionDetailInFaults="False" />
    </behavior>
  </serviceBehaviors>
</behaviors>

La configuration du point de terminaison client se compose d’une adresse absolue pour le point de terminaison de service, la liaison et le contrat. Le mode de sécurité du client pour la wsHttpBinding liaison est Message. L’attribut clientCredentialType est défini sur None.

<system.serviceModel>
  <client>
    <endpoint name=""
             address="http://localhost/servicemodelsamples/service.svc"
             binding="wsHttpBinding"
             behaviorConfiguration="ClientCredentialsBehavior"
             bindingConfiguration="Binding1"
             contract="Microsoft.ServiceModel.Samples.ICalculator" />
  </client>

  <bindings>
    <wsHttpBinding>
      <!--This configuration defines the security mode as -->
      <!--Message and the clientCredentialType as None. -->
      <binding name="Binding1">
        <security mode = "Message">
          <message clientCredentialType="None"/>
        </security>
      </binding>
    </wsHttpBinding>
  </bindings>
  ...
</system.serviceModel>

L’exemple définit la CertificateValidationMode valeur pour PeerOrChainTrust l’authentification du certificat du service. Cela se fait dans le fichier App.config du client dans la behaviors section. Cela signifie que si le certificat se trouve dans le magasin Contacts approuvés de l’utilisateur, il est approuvé sans effectuer de validation de la chaîne d’émetteur du certificat. Ce paramètre est utilisé ici pour faciliter l’exécution de l’exemple sans exiger de certificats émis par une autorité de certification . Ce paramètre est moins sécurisé que la valeur par défaut, ChainTrust. Les implications de sécurité de ce paramètre doivent être soigneusement prises en compte avant d’utiliser PeerOrChainTrust dans le code de production.

L’implémentation du client ajoute un appel à la IsCallerAnonymous méthode et ne diffère pas de l’exemple WSHttpBinding .

// Create a client with a client endpoint configuration.
CalculatorClient client = new CalculatorClient();

// Call the GetCallerIdentity operation.
Console.WriteLine("IsCallerAnonymous returned: {0}", client.IsCallerAnonymous());

// Call the Add service operation.
double value1 = 100.00D;
double value2 = 15.99D;
double result = client.Add(value1, value2);
Console.WriteLine("Add({0},{1}) = {2}", value1, value2, result);

...

//Closing the client gracefully closes the connection and cleans up resources.
client.Close();

Console.WriteLine();
Console.WriteLine("Press <ENTER> to terminate client.");
Console.ReadLine();

Lorsque vous exécutez l’exemple, les demandes et réponses de l’opération s’affichent dans la fenêtre de la console cliente. Appuyez sur Entrée dans la fenêtre du client pour arrêter le client.

IsCallerAnonymous returned: True
Add(100,15.99) = 115.99
Subtract(145,76.54) = 68.46
Multiply(9,81.25) = 731.25
Divide(22,7) = 3.14285714285714
Press <ENTER> to terminate client.

Le fichier de commandes Setup.bat inclus dans l’exemple Message Security Anonymous vous permet de configurer le serveur avec un certificat approprié pour exécuter une application hébergée qui nécessite une sécurité basée sur les certificats. Le fichier batch peut être exécuté en deux modes. Pour exécuter le fichier de commandes en mode ordinateur unique, tapez setup.bat dans la ligne de commande. Pour l’exécuter en mode service, tapez setup.bat service. Utilisez ce mode lors de l’exécution de l’exemple sur plusieurs ordinateurs. Pour plus d’informations, consultez la procédure de configuration à la fin de cette rubrique.

Voici une brève vue d’ensemble des différentes sections des fichiers batch :

  • Création du certificat de serveur.

    Les lignes suivantes du fichier batch Setup.bat créent le certificat de serveur à utiliser.

    echo ************
echo Server cert setup starting
echo %SERVER_NAME%
echo ************
echo making server cert
echo ************
makecert.exe -sr LocalMachine -ss MY -a sha1 -n CN=%SERVER_NAME% -sky exchange -pe

    La variable %SERVER_NAME% spécifie le nom du serveur. Le certificat est stocké dans le magasin LocalMachine. Si le fichier batch d’installation est exécuté avec l’argument service (par setup.bat serviceexemple), le %SERVER_NAME% contient le nom de domaine complet de l’ordinateur. Sinon, il est défini par défaut sur localhost.

  • Installation du certificat de serveur dans le magasin de certificats approuvé du client.

    La ligne suivante copie le certificat de serveur dans le magasin de personnes de confiance du client. Cette étape est requise, car les certificats générés par Makecert.exe ne sont pas implicitement approuvés par le système client. Si vous disposez déjà d’un certificat rooté dans un certificat racine approuvé par le client( par exemple, un certificat émis par Microsoft), cette étape de remplissage du magasin de certificats client avec le certificat de serveur n’est pas nécessaire.

    certmgr.exe -add -r LocalMachine -s My -c -n %SERVER_NAME% -r CurrentUser -s TrustedPeople

  • Octroi d’autorisations sur la clé privée du certificat.

    Les lignes suivantes du fichier batch Setup.bat rendent le certificat de serveur stocké dans le magasin LocalMachine accessible au compte de processus worker ASP.NET.

    echo ************
echo setting privileges on server certificates
echo ************
for /F "delims=" %%i in ('"%MSSDK%\bin\FindPrivateKey.exe" My LocalMachine -n CN^=%SERVER_NAME% -a') do set PRIVATE_KEY_FILE=%%i set WP_ACCOUNT=NT AUTHORITY\NETWORK SERVICE
(ver | findstr "5.1") && set WP_ACCOUNT=%COMPUTERNAME%\ASPNET
echo Y|cacls.exe "%PRIVATE_KEY_FILE%" /E /G "%WP_ACCOUNT%":R
iisreset

Remarque

Si vous utilisez une édition anglaise de Windows non américaine, vous devez modifier le fichier Setup.bat et remplacer le nom de compte NT AUTHORITY\NETWORK SERVICE par votre équivalent régional.

Pour configurer, générer et exécuter l’exemple

  1. Assurez-vous d’avoir effectué la Procédure d’installation unique pour les exemples Windows Communication Foundation.

  2. Pour générer l’édition C# ou Visual Basic .NET de la solution, conformez-vous aux instructions figurant dans Building the Windows Communication Foundation Samples.

Pour exécuter l’exemple sur le même ordinateur

  1. Vérifiez que le chemin inclut le dossier où se trouvent Makecert.exe et FindPrivateKey.exe.

  2. Exécutez-Setup.bat à partir de l’exemple de dossier d’installation dans une invite de commande du développeur pour Visual Studio à exécuter avec des privilèges d’administrateur. Cela installe tous les certificats requis pour l’exécution de l’exemple.

    Remarque

    Le fichier batch d’installation est conçu pour être exécuté à partir d’une invite de commandes développeur pour Visual Studio. La variable d’environnement de chemin d’accès doit pointer vers le répertoire où le Kit de développement logiciel (SDK) est installé. Cette variable d’environnement est définie automatiquement dans une Invite de commandes développeur pour Visual Studio.

  3. Vérifiez l’accès au service à l’aide d’un navigateur en entrant l’adresse http://localhost/servicemodelsamples/service.svc.

  4. Lancez Client.exe à partir de \client\bin. L’activité du client s’affiche sur l’application console cliente.

  5. Si le client et le service ne sont pas en mesure de communiquer, consultez Conseils de résolution des problèmes pour les exemples WCF.

Pour exécuter l’exemple sur différents ordinateurs

  1. Créez un répertoire sur l’ordinateur de service. Créez une application virtuelle nommée servicemodelsamples pour ce répertoire à l’aide de l’outil de gestion iis (Internet Information Services).

  2. Copiez les fichiers de programme de service de \inetpub\wwwroot\servicemodelsamples dans le répertoire virtuel sur l’ordinateur de service. Vérifiez que vous copiez les fichiers dans le sous-répertoire \bin. Copiez également les fichiers Setup.bat et Cleanup.bat sur l’ordinateur de service.

  3. Créez un répertoire sur l’ordinateur client pour les fichiers binaires clients.

  4. Copiez les fichiers de programme client dans le répertoire client sur l’ordinateur client. Copiez également les fichiers Setup.bat, Cleanup.batet ImportServiceCert.bat sur le client.

  5. Sur le serveur, exécutez setup.bat service dans une Invite de commandes développeur pour Visual Studio ouverte avec des privilèges d’administrateur. L’exécution de setup.bat avec l’argument service crée un certificat de service avec le nom de domaine complet de l’ordinateur et exporte le certificat de service vers un fichier nommé Service.cer.

  6. Modifiez Web.config pour refléter le nouveau nom de certificat (dans l’attribut findValue du <serviceCertificate>), qui est le même que le nom de domaine complet de l’ordinateur.

  7. Copiez le fichier Service.cer du répertoire de service vers le répertoire client sur l’ordinateur client.

  8. Dans le fichier Client.exe.config sur l’ordinateur client, modifiez la valeur d’adresse du point de terminaison pour qu’il corresponde à la nouvelle adresse de votre service.

  9. Sur le client, exécutez ImportServiceCert.bat dans une Invite de commandes développeur pour Visual Studio ouverte avec des privilèges d’administrateur. Cela importe le certificat de service à partir du fichier Service.cer dans le magasin CurrentUser - TrustedPeople.

  10. Sur l’ordinateur client, lancez Client.exe à partir d’une invite de commande. Si le client et le service ne sont pas en mesure de communiquer, consultez Conseils de résolution des problèmes pour les exemples WCF.

Pour nettoyer après le test

  • Exécutez Cleanup.bat dans le dossier d’exemples une fois que vous avez terminé d’exécuter l’exemple.

Remarque

Ce script ne supprime pas les certificats de service sur un client lors de l’exécution de cet exemple sur les ordinateurs. Si vous avez exécuté des exemples Windows Communication Foundation (WCF) qui utilisent des certificats sur des ordinateurs, veillez à effacer les certificats de service installés dans le magasin CurrentUser - TrustedPeople. Pour ce faire, utilisez la commande suivante : Par exemple : certmgr -del -r CurrentUser -s TrustedPeople -c -n <Fully Qualified Server Machine Name>certmgr -del -r CurrentUser -s TrustedPeople -c -n server1.contoso.com.

  • Last updated on