Procedura: proteggere endpoint dei metadati

È possibile che i metadati di un servizio contengano informazioni riservate sull'applicazione che un utente malintenzionato potrebbe sfruttare. Gli utenti del servizio, inoltre, potrebbero richiedere un meccanismo protetto per ottenere metadati sul servizio. È talvolta necessario, quindi, pubblicare i metadati utilizzando un endpoint protetto.

Gli endpoint dei metadati vengono generalmente protetti utilizzando i meccanismi di sicurezza standard definiti in Windows Communication Foundation (WCF) per la sicurezza degli endpoint dell'applicazione. Per altre informazioni, vedere Panoramica della sicurezza.

In questo argomento vengono esaminati i passaggi che consentono di creare un endpoint protetto mediante un certificato SSL (Secure Sockets Layer) o, in altri termini, un endpoint HTTPS.

Per creare un endpoint di metadati HTTPS GET protetto nel codice

1. Configurare una porta con un certificato X.509 appropriato. Il certificato deve provenire da un'autorità attendibile e deve presentare l'utilizzo previsto "autorizzazione del servizio". È necessario utilizzare lo strumento HttpCfg.exe per allegare il certificato alla porta. Vedere Procedura: configurare una porta con un certificato SSL.

   Importante

   Il soggetto del certificato o il DNS (Domain Name System) deve corrispondere al nome del computer. È fondamentale perché uno dei primi passaggi eseguiti dal meccanismo HTTPS consiste nel verificare che il certificato sia emesso allo stesso URI (Uniform Resource Identifier) dell'indirizzo dal quale è richiamato.

2. Creare una nuova istanza della classe ServiceMetadataBehavior.

3. Impostare la proprietà HttpsGetEnabled della classe ServiceMetadataBehavior su true.

4. Impostare la proprietà HttpsGetUrl su un URL appropriato. Se si specifica un indirizzo assoluto, l'URL deve iniziare con lo schema https://. Se si specifica un indirizzo relativo, è necessario fornire un indirizzo di base HTTPS per l'host del servizio. Se questa proprietà non è impostata, l'indirizzo predefinito è "" o direttamente l'indirizzo di base HTTPS per il servizio.

5. Aggiungere l'istanza alla raccolta di comportamenti restituito dalla proprietà Behaviors della classe ServiceDescription, come indicato nel codice seguente.

   // Create a new metadata behavior object and set its properties to
   // create a secure endpoint.
   ServiceMetadataBehavior sb = new ServiceMetadataBehavior();
   sb.HttpsGetEnabled = true;
   sb.HttpsGetUrl = new Uri("https://myMachineName:8036/myEndpoint");
   myServiceHost.Description.Behaviors.Add(sb);
   
   myServiceHost.Open();
   

   ' Create a new metadata behavior object and set its properties to 
   ' create a secure endpoint. 
   Dim sb As New ServiceMetadataBehavior()
   
   With sb
       .HttpsGetEnabled = True
       .HttpsGetUrl = New Uri("https://myMachineName:8036/myEndpoint")
   End With
   
   With myServiceHost
       .Description.Behaviors.Add(sb)
       .Open()
   End With
   

Per creare un endpoint di metadati HTTPS GET protetto nella configurazione

1. Aggiungere un elemento <behaviors> all'elemento <system.serviceModel> del file di configurazione per il servizio.

2. Aggiungere un elemento <serviceBehaviors> all'elemento <behaviors>.

3. Aggiungere un elemento <behavior> all'elemento <serviceBehaviors>.

4. Impostare l'attributo name dell'elemento <behavior> su un valore appropriato. L'attributo name è obbligatorio. Nell'esempio seguente viene utilizzato il valore mySvcBehavior.

5. Aggiungere un elemento <serviceMetadata> all'elemento <behavior> .

6. Impostare l'attributo httpsGetEnabled dell'elemento <serviceMetadata> su true.

7. Impostare l'attributo httpsGetUrl dell'elemento <serviceMetadata> su un valore appropriato. Se si specifica un indirizzo assoluto, l'URL deve iniziare con lo schema https://. Se si specifica un indirizzo relativo, è necessario fornire un indirizzo di base HTTPS per l'host del servizio. Se questa proprietà non è impostata, l'indirizzo predefinito è "" o direttamente l'indirizzo di base HTTPS per il servizio.

8. Per utilizzare il comportamento con un servizio, impostare l'attributo behaviorConfiguration dell'elemento <service> sul valore dell'attributo Name dell'elemento behavior. Nella configurazione seguente viene illustrato un esempio completo.

   <?xml version="1.0" encoding="utf-8" ?>
   <configuration>
    <system.serviceModel>
     <behaviors>
      <serviceBehaviors>
       <behavior name="mySvcBehavior">
        <serviceMetadata httpsGetEnabled="true"
             httpsGetUrl="https://localhost:8036/calcMetadata" />
       </behavior>
      </serviceBehaviors>
     </behaviors>
    <services>
     <service behaviorConfiguration="mySvcBehavior"
           name="Microsoft.Security.Samples.Calculator">
      <endpoint address="http://localhost:8037/ServiceModelSamples/calculator"
      binding="wsHttpBinding" bindingConfiguration=""
      contract="Microsoft.Security.Samples.ICalculator" />
     </service>
    </services>
   </system.serviceModel>
   </configuration>
   

Esempio

Nell'esempio seguente viene creata un'istanza della classe ServiceHost e viene aggiunto un endpoint. Il codice crea quindi un'istanza della classe ServiceMetadataBehavior e imposta le proprietà per creare un punto dello scambio di metadati protetto.

WSHttpBinding myBinding = new WSHttpBinding();
myBinding.Security.Mode = SecurityMode.Message;
myBinding.Security.Message.ClientCredentialType =
    MessageCredentialType.Windows;

// Create the Type instances for later use and the URI for
// the base address.
Type contractType = typeof(ICalculator);
Type serviceType = typeof(Calculator);
Uri baseAddress = new
    Uri("http://localhost:8037/serviceModelSamples/");

// Create the ServiceHost and add an endpoint.
ServiceHost myServiceHost =
    new ServiceHost(serviceType, baseAddress);
myServiceHost.AddServiceEndpoint
    (contractType, myBinding, "secureCalculator");
// Create a new metadata behavior object and set its properties to
// create a secure endpoint.
ServiceMetadataBehavior sb = new ServiceMetadataBehavior();
sb.HttpsGetEnabled = true;
sb.HttpsGetUrl = new Uri("https://myMachineName:8036/myEndpoint");
myServiceHost.Description.Behaviors.Add(sb);

myServiceHost.Open();
// Use the GetHostEntry method to return the actual machine name.
string machineName = System.Net.Dns.GetHostEntry("").HostName ;
Console.WriteLine("Listening @ {0}:8037/serviceModelSamples/", machineName);
Console.WriteLine("Press Enter to close the service");
Console.ReadLine();
myServiceHost.Close();

Dim myBinding As New WSHttpBinding()
With myBinding.Security
    .Mode = SecurityMode.Message
    .Message.ClientCredentialType = MessageCredentialType.Windows
End With

' Create the Type instances for later use and the URI for 
' the base address.
Dim contractType = GetType(ICalculator)
Dim serviceType = GetType(Calculator)
Dim baseAddress As New Uri("http://localhost:8037/serviceModelSamples/")

' Create the ServiceHost and add an endpoint. 
Dim myServiceHost As New ServiceHost(serviceType, baseAddress)
myServiceHost.AddServiceEndpoint(contractType, myBinding, "secureCalculator")

' Create a new metadata behavior object and set its properties to 
' create a secure endpoint. 
Dim sb As New ServiceMetadataBehavior()

With sb
    .HttpsGetEnabled = True
    .HttpsGetUrl = New Uri("https://myMachineName:8036/myEndpoint")
End With

With myServiceHost
    .Description.Behaviors.Add(sb)
    .Open()
End With

' Use the GetHostEntry method to return the actual machine name.
Dim machineName = System.Net.Dns.GetHostEntry("").HostName
Console.WriteLine("Listening @ {0}:8037/serviceModelSamples/", machineName)
Console.WriteLine("Press Enter to close the service")
Console.ReadLine()
myServiceHost.Close()

Compilazione del codice

Nel codice di esempio vengono utilizzati gli spazi dei nomi seguenti:

• System.ServiceModel

• System.ServiceModel.Description

Vedi anche

• HttpsGetEnabled
• ServiceMetadataBehavior
• HttpsGetUrl
• Procedura: Configurare una porta con un certificato SSL
• Uso di certificati
• Considerazioni sulla sicurezza con i metadati
• Securing Services and Clients