<проверка подлинности><элемента serviceCertificate>
Задает параметры, которые использует прокси клиента для проверки подлинности сертификатов службы, полученных при помощи согласования SSL/TLS.
<Конфигурации>
<system.serviceModel>
<Поведения>
<EndpointBehaviors>
<Поведение>
<clientCredentials>
<serviceCertificate>
<Проверки подлинности>
Синтаксис
<authentication customCertificateValidatorType="String"
certificateValidationMode="None/PeerTrust/ChainTrust/PeerOrChainTrust/Custom"
revocationMode="NoCheck/Online/Offline"
trustedStoreLocation="LocalMachine/CurrentUser" />
Атрибуты и элементы
В следующих разделах описываются атрибуты, дочерние и родительские элементы.
Атрибуты
| Атрибут | Описание |
|---|---|
| customCertificateValidatorType | Строка. Тип и сборка, используемые для проверки пользовательского типа. |
| certificateValidationMode | Задает один из трех режимов для проверки учетных данных. Если задано значение Custom, также необходимо предоставить customCertificateValidator. Значение по умолчанию — ChainTrust. |
| revocationMode | Один из режимов, используемых для проверки списков отозванных сертификатов (CRL). Значение по умолчанию — Online. |
| trustedStoreLocation | Одно из двух местоположений системного хранилища: LocalMachine или CurrentUser. Данное значение используется при согласовании сертификата службы для клиента. Проверка выполняется для доверенного хранилища Люди в указанном расположении хранилища. Значение по умолчанию — CurrentUser. |
Атрибут customCertificateValidator
| Значение | Описание |
|---|---|
| Строка | Задает имя типа и сборку, а также другие данные, используемые для поиска типа. |
Атрибут certificateValidationMode
| Значение | Описание |
|---|---|
| Перечисление | Одно из следующих значений: None, PeerTrust, ChainTrust, PeerOrChainTrust, Custom. Дополнительные сведения см. в разделе Работа с сертификатами. |
Атрибут revocationMode
| Значение | Описание |
|---|---|
| Перечисление | Одно из следующих значений: NoCheck, Online, Offline. Дополнительные сведения см. в разделе Работа с сертификатами. |
Атрибут trustedStoreLocation
| Значение | Описание |
|---|---|
| Перечисление | Одно из следующих значений: LocalMachine или CurrentUser. Значение по умолчанию — CurrentUser. Если клиентское приложение выполняется в контексте системной учетной записи, сертификат обычно находится в LocalMachine. Если клиентское приложение выполняется в контексте учетной записи пользователя, то сертификат обычно находится в CurrentUser. |
Дочерние элементы
Отсутствует.
Родительские элементы
| Элемент | Описание |
|---|---|
| <serviceCertificate> | Задает сертификат для использования при проверке подлинности службы для клиента. |
Комментарии
Атрибут certificateValidationMode данного элемента конфигурации указывает уровень доверия, который используется при проверке подлинности сертификатов. По умолчанию для уровня устанавливается значение ChainTrust, которое указывает, что каждый сертификат должен находиться в иерархии сертификатов, которая на самом верху цепи завершается доверенным центром сертификации. Это наиболее безопасный режим. Также можно установить значение PeerOrChainTrust, в этом случае будут приниматься как самостоятельно выдаваемые сертификаты (доверие одноранговой группы), так и сертификаты, которые находятся в цепи доверия. Данное значение используется при разработке и отладке клиентов и служб, так как самостоятельно выданные сертификаты не нужно приобретать у доверенного центра сертификации. При развертывании клиента вместо этого значения следует использовать значение ChainTrust. Также можно задать значение Custom или None. Чтобы использовать значение Custom, необходимо также установить атрибут customCertificateValidator для сборки и типа, которые используются при проверке сертификата. Для создания собственного пользовательского проверяющего элемента управления необходимо унаследовать его от абстрактного класса X509CertificateValidator. Дополнительные сведения см. в разделе Практическое руководство. Создание службы, которая использует настраиваемый проверяющий элемент управления сертификатов.
Атрибут revocationMode указывает способ проверки отозванных сертификатов. По умолчанию используется значение online, которое указывает, что проверка, является ли сертификат отозванным, будет выполняться автоматически. Дополнительные сведения см. в разделе Работа с сертификатами.
Пример
В следующем примере выполняется две задачи. Сначала он указывает сертификат службы, используемый клиентом при обмене данными с конечными точками, доменное имя которых используется www.contoso.com по протоколу HTTP. Во-вторых, в этом примере указывается режим отзыва и место хранения, которые используются при проверке подлинности.
<serviceCertificate>
<defaultCertificate findValue="www.contoso.com"
storeLocation="LocalMachine"
storeName="TrustedPeople"
x509FindType="FindByIssuerDistinguishedName" />
<scopedCertificates>
<add targetUri="http://www.contoso.com"
findValue="www.contoso.com"
storeLocation="LocalMachine"
storeName="Root"
x509FindType="FindByIssuerName" />
</scopedCertificates>
<authentication revocationMode="Online"
trustedStoreLocation="LocalMachine" />
</serviceCertificate>
См. также раздел
- X509RecipientCertificateClientElement
- X509CertificateRecipientClientCredential
- Authentication
- X509ServiceCertificateAuthentication
- Поведение безопасности
- Работа с сертификатами
- Практическое руководство. Создание службы, использующей пользовательский проверяющий элемент управления для сертификатов
- <Проверки подлинности>
- Обеспечение безопасности клиентов
- Защита служб и клиентов
