<clientCertificate <elem hitelesítése>>
A szolgáltatás által használt ügyféltanúsítványok hitelesítési viselkedését határozza meg.
<Konfigurációs>
<system.serviceModel>
<Viselkedésmódok>
<serviceBehaviors>
<Viselkedés>
<szolgáltatás hitelesítő adatai>
<clientCertificate>
<Hitelesítés>
Syntax
<authentication customCertificateValidatorType="namespace.typeName, [,AssemblyName] [,Version=version number] [,Culture=culture] [,PublicKeyToken=token]"
certificateValidationMode="ChainTrust/None/PeerTrust/PeerOrChainTrust/Custom"
includeWindowsGroups="Boolean"
mapClientCertificateToWindowsAccount="Boolean"
revocationMode="NoCheck/Online/Offline"
trustedStoreLocation="CurrentUser/LocalMachine" />
Attribútumok és elemek
A következő szakaszok az attribútumokat, a gyermekelemeket és a szülőelemeket ismertetik
Attribútumok
Attribútum | Leírás |
---|---|
customCertificateValidatorType | Nem kötelező sztring. Egyéni típus ellenőrzésére használt típus és szerelvény. Ezt az attribútumot akkor kell beállítani, ha certificateValidationMode a értéke Custom . |
certificateValidationMode | Nem kötelező enumerálás. A hitelesítő adatok ellenőrzéséhez használt módok egyikét adja meg. Ez az attribútum típus X509CertificateValidationMode . Ha a értékre van állítva, X509CertificateValidationMode.Customakkor egy customCertificateValidator értéket is meg kell adni. A mező alapértelmezett értéke: X509CertificateValidationMode.ChainTrust. |
includeWindowsGroups | Nem kötelező logikai érték. Megadja, hogy a Windows-csoportok szerepelnek-e a biztonsági környezetben. Ha ezt az attribútumot úgy állítja be, hogy true az hatással van a teljesítményre, az teljes csoportbővítést eredményez. Állítsa ezt az attribútumot értékre false , ha nem kell létrehoznia azokat a csoportokat, amelyhez a felhasználó tartozik. |
mapClientCertificateToWindowsAccount | Logikai. Meghatározza, hogy az ügyfél leképezhető-e windowsos identitásra a tanúsítvány használatával. Ehhez engedélyezni kell az Active Directoryt. |
revocationMode | Nem kötelező enumerálás. A visszavont tanúsítványlisták (RCL) ellenőrzésének egyik módja. A mező alapértelmezett értéke: Online . Ezt az értéket a rendszer figyelmen kívül hagyja a HTTP átviteli biztonság használatakor. |
trustedStoreLocation | Nem kötelező enumerálás. A rendszer két tárolóhelyének egyike: LocalMachine vagy CurrentUser . Ezt az értéket akkor használja a rendszer, ha egy szolgáltatástanúsítványt egyeztetnek az ügyfélrel. Az ellenőrzés a megadott tárolóhely megbízható Kapcsolatok tárolóján történik. A mező alapértelmezett értéke: CurrentUser . |
customCertificateValidatorType attribútum
Érték | Leírás |
---|---|
Sztring | Megadja a típus nevét és szerelvényét, valamint a típus megkereséséhez használt egyéb adatokat. |
certificateValidationMode attribútum
Érték | Leírás |
---|---|
Enumerálás | Az alábbi értékek egyike: None, PeerTrust, ChainTrust, PeerOrChainTrust, Custom. További információ: Tanúsítványok használata. |
revocationMode attribútum
Érték | Leírás |
---|---|
Enumerálás | Az alábbi értékek egyike: NoCheck, Online, Offline. További információ: Tanúsítványok használata. |
trustedStoreLocation attribútum
Érték | Leírás |
---|---|
Enumerálás | Az alábbi értékek egyike: LocalMachine vagy CurrentUser . A mező alapértelmezett értéke: CurrentUser . Ha az ügyfélalkalmazás rendszerfiók alatt fut, akkor a tanúsítvány általában a alatt LocalMachine található. Ha az ügyfélalkalmazás felhasználói fiók alatt fut, akkor a tanúsítvány általában a következőben CurrentUser található: . |
Gyermekelemek
Nincsenek.
Szülőelemek
Elem | Leírás |
---|---|
<clientCertificate> | Definiál egy X.509-tanúsítványt, amellyel egy ügyfél hitelesíthető egy szolgáltatásban. |
Megjegyzések
Az <authentication>
elem megfelel az osztálynak X509ClientCertificateAuthentication . Lehetővé teszi az ügyfelek hitelesítésének testreszabását. Az attribútumot beállíthatja certificateValidationMode
a következőre: None
, ChainTrust
, PeerOrChainTrust
, PeerTrust
vagy Custom
. A szint alapértelmezés szerint a értékre ChainTrust
van állítva, amely azt határozza meg, hogy minden tanúsítványnak a lánc tetején lévő legfelső szintű hitelesítésszolgáltatóval végződő tanúsítványhierarchiában kell lennie. Ez a legbiztonságosabb mód. A értékét is beállíthatja a értékre PeerOrChainTrust
, amely meghatározza, hogy a rendszer elfogadja a saját tanúsítványok (társmegbízhatóság) és a megbízható láncban lévő tanúsítványokat. Ezt az értéket az ügyfelek és szolgáltatások fejlesztéséhez és hibakereséséhez használják, mivel az önkibocsátott tanúsítványokat nem kell megbízható szolgáltatótól beszerezni. Az ügyfél üzembe helyezésekor használja inkább az ChainTrust
értéket.
Az értéket is beállíthatja értékre Custom
. Ha az Custom
értékre van állítva, az customCertificateValidatorType
attribútumot egy szerelvényre és a tanúsítvány érvényesítéséhez használt típusra is be kell állítania. Saját egyéni érvényesítő létrehozásához az absztrakt X509CertificateValidator osztálytól kell örökölnie. További információ : How to: Create a Service that Employs a Custom Certificate Validator (Egyéni tanúsítvány-érvényesítőt alkalmazó szolgáltatás létrehozása).
Példa
Az alábbi kód egy X.509-tanúsítványt és egy egyéni érvényesítési típust határoz meg az <authentication>
elemben.
<serviceBehaviors>
<behavior name="myServiceBehavior">
<clientCertificate>
<certificate findValue="www.cohowinery.com"
storeLocation="CurrentUser"
storeName="TrustedPeople"
x509FindType="FindByIssuerName" />
<authentication customCertificateValidatorType="MyTypes.Coho"
certificateValidationMode="Custom"
revocationMode="Offline"
includeWindowsGroups="false"
mapClientCertificateToWindowsAccount="true" />
</clientCertificate>
</behavior>
</serviceBehaviors>