Pourquoi WCF se plaint de l'échec de la vérification d'identité?

Question

Je crée une application WCF dans laquelle j'utiliserai des certificats pour chiffrer la communication entre le client et le serveur. Dans mon environnement de développement, je souhaite utiliser un certificat de test/certificat auto-signé que j'ai créé avec makecert. (Seul le serveur aura un certificat, le client ne le fera pas).

J'ai installé le certificat dans un magasin de certificats et tout fonctionne correctement. Sur le client, certificateValidationMode est actuellement défini sur "false", car je travaille avec un certificat de test.

Mon problème:

Dans le app.config sur le client, je dois préciser l'élément d'identité comme ceci:

<endpoint ... > 
    <identity> 
     <dns value="<Name-Of-Server-Computer>"/> 
    </identity> 
</endpoint> 

Si je supprime l'élément d'identité, je reçois le message d'erreur suivant dans le client lorsque j'essaie de me connecter au serveur:

La vérification d'identité a échoué pour le message sortant. L'identité DNS attendue du point de terminaison distant était «localhost» mais le point de terminaison distant fournissait la revendication DNS «Name-Of-Server-Computer». S'il s'agit d'un point de terminaison distant légitime, vous pouvez résoudre le problème en spécifiant explicitement l'identité DNS «Name-Of-Server-Computer» en tant que propriété Identity de EndpointAddress lors de la création du proxy de canal.

est donc ici mes questions:

• est le contrôle d'identité ne fait lors de l'utilisation d'un test/certificat auto-signé? Lorsque je déploie mon application à l'aide d'un certificat réel et fiable acheté auprès d'une autorité de certification, la vérification d'identité sera-t-elle effectuée?

• Existe-t-il un moyen de désactiver la vérification d'identité? Je sais que je peux créer mon propre validateur de certificat personnalisé, mais il ne semble pas y avoir de moyen de contourner la vérification d'identité en utilisant ceux-ci.

Answer 1

La vérification se fait toujours - et devrait être. Fondamentalement, WCF vérifiera que le certificat est émis au nom de domaine (yourcompany.com) ou au nom de la machine où réside votre service. C'est un contrôle de sécurité que je ne désactiverais jamais! Autrement, quiconque usurperait votre service pourrait utiliser n'importe quel certificat établi à un nom arbitraire de domaine/machine et obtenir votre trafic - pas ce que vous voulez! Donc, ce dont vous avez besoin de vous assurer, c'est que votre vrai certificat sur le serveur de production est effectivement délivré à ce nom de domaine dont le serveur de production fera partie, par ex. Si votre serveur de production doit se trouver dans "production.votreentreprise.com", le certificat doit être créé sur ce domaine.

Marc

Answer 2

La réponse à cette question est dans le message d'erreur lui-même. Sur le client, vous pouvez faire:

EndpointIdentity identity = EndpointIdentity.CreateDnsIdentity("Server"); 
EndpointAddress address = new EndpointAddress(new Uri("net.tcp://1.2.3.4:12345/ServiceName"), identity); 

Remplacer "Serveur", par tout ce qui est attendu. Généralement, il s'agit du nom commun (CN) de votre certificat auto-signé. Cela ne gâchera pas la sécurité, à condition que vous preniez toutes les responsabilités pour vous assurer que le certificat présenté est valide, c'est-à-dire créez votre validateur de certificat personnalisé et y effectuez les vérifications appropriées.

Answer 3

certificateValidationMode doit être réglé sur « None », pas « false » ...