İleti Güveliği Kullanarak İletileri Güvenli Hale Getirme
Bu bölümde kullanırken NetMsmqBindingWCF ileti güvenliği ele alınmaktadır.
Not
Bu konuyu okumadan önce Güvenlik Kavramları'nı okumanız önerilir.
Aşağıdaki çizimde WCF kullanılarak kuyruğa alınan iletişimin kavramsal bir modeli sağlanmaktadır. Bu çizim ve terminoloji,
aktarım güvenliği kavramları.
WCF kullanarak kuyruğa alınmış iletiler gönderilirken, WCF iletisi Message Queuing (MSMQ) iletisinin gövdesi olarak eklenir. Aktarım güvenliği MSMQ iletisinin tamamının güvenliğini sağlarken, ileti (veya SOAP) güvenliği yalnızca MSMQ iletisinin gövdesini güvence altına alır.
İleti güvenliğinin temel kavramı, istemcinin hedef kuyruk için iletiyi güvenli hale getiren aktarım güvenliğinden farklı olarak alıcı uygulama (hizmet) için iletiyi güvenli hale almasıdır. Bu nedenle, MSMQ, ileti güvenliğini kullanarak WCF iletisinin güvenliğini sağlarken hiçbir rol oynamaz.
WCF ileti güvenliği, WCF iletisine sertifika veya Kerberos protokolü gibi mevcut güvenlik altyapılarıyla tümleşen güvenlik üst bilgileri ekler.
İleti Kimlik Bilgisi Türü
hizmet ve istemci, ileti güvenliğini kullanarak birbirlerinin kimliğini doğrulamak için kimlik bilgileri sunabilir. modu Message veya Both olarak ayarlayarak Security ileti güvenliğini seçebilirsiniz (yani hem aktarım güvenliği hem de ileti güvenliği kullanın).
Hizmet, istemcinin Current kimliğini doğrulamak için kullanılan kimlik bilgilerini incelemek için özelliğini kullanabilir. Bu, hizmetin uygulamayı seçtiği diğer yetkilendirme denetimleri için de kullanılabilir.
Bu bölümde farklı kimlik bilgileri türleri ve bunların kuyruklarla nasıl kullanılacağı açıklanmaktadır.
Sertifika
Sertifika kimlik bilgisi türü, hizmeti ve istemciyi tanımlamak için bir X.509 sertifikası kullanır.
Tipik bir senaryoda, istemciye ve hizmete güvenilen bir sertifika yetkilisi tarafından geçerli bir sertifika verilir. Ardından bağlantı kurulur, istemci hizmete güvenip güvenmeyeceğine karar vermek için hizmetin sertifikasını kullanarak hizmetin geçerliliğini doğrular. Benzer şekilde, hizmet istemci güvenini doğrulamak için istemcinin sertifikasını kullanır.
Kuyrukların bağlantısız yapısı göz önünde bulundurulduğunda, istemci ve hizmet aynı anda çevrimiçi olmayabilir. Bu nedenle, istemci ve hizmetin sertifikaları bant dışı olarak değiştirmesi gerekir. Özellikle, istemcinin, hizmetin sertifikasını (bir sertifika yetkilisine zincirlenebilir) güvenilir deposunda tutması nedeniyle, doğru hizmetle iletişimde olduğuna güvenmesi gerekir. İstemcinin kimliğini doğrulamak için hizmet, istemcinin orijinalliğini doğrulamak için iletiyle birlikte eklenen X.509 sertifikasını kullanarak deposundaki sertifikayla eşleştirir. Sertifikanın bir sertifika yetkilisine zincirlenmiş olması gerekir.
Windows çalıştıran bir bilgisayarda sertifikalar çeşitli mağazalarda tutulur. Farklı depolar hakkında daha fazla bilgi için bkz . Sertifika depoları.
Windows
Windows ileti kimlik bilgisi türü Kerberos protokolunu kullanır.
Kerberos protokolü, bir etki alanındaki kullanıcıların kimliğini doğrulayan ve kimliği doğrulanmış kullanıcıların bir etki alanındaki diğer varlıklarla güvenli bağlamlar oluşturmasına olanak tanıyan bir güvenlik mekanizmasıdır.
Kuyruğa alınan iletişim için Kerberos protokolunu kullanmayla ilgili sorun, Anahtar Dağıtım Merkezi'nin (KDC) dağıttığını istemci kimliğini içeren biletlerin nispeten kısa ömürlü olmasıdır. Yaşam süresi , anahtarın geçerliliğini gösteren Kerberos anahtarıyla ilişkilendirilir. Bu nedenle, yüksek gecikme süresi verildiğinde, belirtecin istemcinin kimliğini doğrulayan hizmet için hala geçerli olduğundan emin olamazsınız.
Bu kimlik bilgisi türünü kullanırken hizmetin HİzMET hesabı altında çalışıyor olması gerektiğini unutmayın.
Kerberos protokolü, ileti kimlik bilgileri seçilirken varsayılan olarak kullanılır.
Kullanıcı Adı Parolası
bu özelliği kullanarak istemci, iletinin güvenlik üst bilgisindeki kullanıcı adı parolasını kullanarak sunucuda kimlik doğrulaması yapabilir.
IssuedToken
İstemci, güvenlik belirteci hizmetini kullanarak daha sonra hizmetin istemcinin kimliğini doğrulaması için iletiye ekleyebileceğiniz bir belirteç verebilir.
Aktarım ve İleti Güvenliğini Kullanma
Hem aktarım güvenliği hem de ileti güvenliği kullanılırken, iletinin hem aktarım hem de SOAP ileti düzeyinde güvenliğini sağlamak için kullanılan sertifika aynı olmalıdır.