WCF开发框架之证书加密使用说明书

WCF开发框架的证书加密操作，前面在框架之旅做了一篇介绍，本文主要是将各种相关知识点综合起来进行介绍，以期达到系统化介绍在我的WCF开发框架（也可以应用于您的WCF框架）中使用证书加密的常规操作和步骤。在WCF应用日益广泛的环境下，注意数据的安全性以及系统稳定性的问题，是我们设计初期必须考虑的重要举措之一，特别对一些行业比较敏感的数据或者重要机关的数据，这个是一个硬性规定的前提条件之一。在WCF开发框架中，应用X.509证书加密可以解决这个问题，但是要使用这个东西，我们必须对相关的知识点有所了解，然后对相关的配置进行设置，才能正常进行使用。

1、证书加密应用背景

在网络化的环境中，特别是基于互联网发布的WCF分布式应用程序，数据的加密传输就显得非常重要，通过对网络数据的加密可以有效保障系统的安全可靠性、私密性。

默认情况下，WCF调用是不经过数据加密的。通过默认操作实现的服务以及客户端调用，数据传输情况是如何的。我这里通过HTTP网络包分析工具Http Analyzer来对数据进行监控看看，如下所示。

可以看到，输入及输出的结果全部是明文，数据传输没任何秘密可言。当然，你也可以对这些数据自己加密后发送出去，但是每个接口，大量信息也要这样自己手工加密吗，难道微软的WCF那么弱智？

当然不是，这些操作交给WCF处理会便捷很多，传说中有一个X509的证书加密，不过如果是第一次搞这个，要完全调通要走不少弯路，我就是参考了很多文章（很多文章都介绍了一部分内容，很少能系统性的给你提出完全的解决方法），遇鬼杀鬼，遇佛拜佛，逐步排除各种险阻，这样慢慢才有一个清晰的思路，逐步解决问题，最终才有心思来写这篇文章，后面的随笔我会介绍完整的解决思路来处理X509加密的操作。

WCF常用的就是使用X509证书来实现加密，通过X509加密处理后，我们看到下面的效果。

里面的内容，包括输入及获取到的输出内容，均被加密的乱七八糟，一塌糊涂，即使是在公网中，看到也是白搭，不知是美女还是野兽。实现以上的加密操作，在调用上，完全不会受影响，还是和原来的调用一样，不过需要在WCF的服务以及调用的客户端进行一些文件配置等操作即可。

综上所述，本文介绍的WCF框架的证书加密操作，具有下面几个特点：

　　1）不需增加额外的代码，通过外置配置即可实现对应的加解密操作。

　　2）数据传输字段及内容均已进行加密，加密是通过证书对（服务器客户端各一个）进行处理。

　　3）高配置型、灵活性的实现方式。

2、WCF框架中使用证书加密注意事项

1）我们一般通过Windows内置工具或者命令行创建的证书，其实是临时用的测试证书，如果在配置文件的Certificate ValidationMode属性中使用除了“None”属性外的值，就不能顺利运行调用服务。这个问题其实可以通过在Windows2003中部署证书服务来创建合格的证书，不过需要先搭建好证书服务平台（或者花钱购买）。

2）开发机器上部署服务，如果操作系统是XP系统的话，不用考虑给IIS授权的问题。如果是在Windows2003等服务器机器上，要给IIS授权才能访问证书，需要使用WinHttpCertCfg.exe或者CertMgr.exe来实现证书的授权等操作。

3、证书加密的开发步骤

综上所述，要成功部署基于X509证书加密的操作，需要这几方面的知识和操作步骤。

1）创建WCF服务应用以及调用客户端。

2）创建客户证书和服务端的X509证书

3）配置服务端的配置文件，使之使用X509证书服务。

4）授权IIS访问服务器证书

5）在服务器证书管理中导入服务器端证书

在客户端导入客户端证书，完成X509证书配置并调用服务。

3.1 创建WCF服务应用以及调用客户端

这个是基本的操作，客户可以创建适合自己的WCF开发框架，这里介绍的WCF开发框架，时基于我的Winform开发框架扩展而成的WCF框架，是一种比较完善、高效、弹性化的开发框架，详细步骤及说明请参考随笔《基于我的Winform开发框架扩展而成的WCF开发框架》，使用这种方式构造的开发框架，各层职责比较分明，而且方便管理。

架构视图如下所示：

项目工程截图如下所示（参考视图）：

调用客户端需要添加WCF服务的引用，操作如下所，注意一般约定的命名规则为ABCServiceReference：

框架大量使用了基于泛型的数据传输接口，因此创建服务调用的客户端，需要在【高级】窗口设置中，添加泛型的转换接口设置（在集合类型中选择System.Collections.Generic.List，其他默认），如下图所示。

3.2 创建客户证书和服务端的X509证书

在VS2008 的DOS命令提示中，输入下面的指令即可创建相关的服务器和客户端证书。

makecert.exe -sr LocalMachine -ss My -a sha1 -n CN=ParkingServer -sky exchange –pe
makecert.exe -sr LocalMachine -ss My -a sha1 -n CN=ParkingClient -sky exchange -pe

下面是各种参数的介绍

属性	解析
-sr	指定的证书存储区中的注册表位置。 currentUser 指定注册版存储位置为 HKEY_CURRENT_USER. localMachine 指定注册版存储位置为 HKEY_LOCAL_MACHINE.
-ss	指定证书存储的位置。
-a	指定相关的算法，可以选择 MD5 算法或者 SHA1算法
-n	指定证书的名称。该名称遵循X.500命名标准。简单例子如 "CN=MyName" 格式，如果没有指定/n开关，证书默认的名称是"Joe's Software Emporium"。
-sky	证书键类型。可以设置为 exchange 或者 signature。
-pe	证书可导出

创建证书成功后，我们在开发的机器上就可以看到两个不同的证书了。

要看这两个证书，需要执行下面操作，开始-》运行-》mmc.exe=》在控制台中选择文件=》添加/删除管理单元=》添加=》选择证书=》弹出证书管理单元选择计算机账户，默认下一步确定回来，就看到下面的界面。

在上面我们可以看到创建在LocalMachine账户下的证书，我们双击查看证书可以看到这个证书是一个不受信任的证书，但是我们还是可以使用的，只是需要在Web.Config配置信息中，certificateValidationMode 属性指定为None，而不能指定其他信任值。

3.3 配置服务端的配置文件，使之使用X509证书服务

根据创建的证书信息，我们修改Web.Config文件，使之应用X509证书加密，如下所示。关键的地方是设置验证方式使用证书。

 <security mode="Message"> 
     <message clientCredentialType="Certificate"/>
</security>

而证书的相关信息指定如下。

<serviceCertificate findValue="ParkingServer"
       x509FindType="FindBySubjectName"
       storeLocation="LocalMachine"
       storeName="My"/>

上面标示证书名称是ParkingServer ，通过查找名字方式对应，并且存储在本地计算机账户、个人证书目录下的位置。

Web.Config 部分内容如下所示。

3.4 授权IIS访问服务器证书

完成以上操作后，如果你的开发机器是XP，那么应该服务端是可以运行正常了，如果你的开发机器是Window2003，那么，恭喜你中奖了，运行服务后会出现下面的错误信息的：[ArgumentException: 证书“CN=ParkingServer”必须具有能够进行密钥交换的私钥。该进程必须具有访问私钥的权限。如下图所示。

要解决上面的错误，只需要给相应的账号分配权限即可，这里IIS访问证书密钥的权限可以通过WinHttpCertCfg.exe来处理，只需要通过命令行执行该程序即可，如下所示。

winhttpcertcfg -g -c LOCAL_MACHINE\My -s ParkingServer -a "NETWORKSERVICE"

运行命令后，在运行WCF服务，一切OK了

这里另外也介绍下WinHttpCertCfg.exe来进行处理的几个命令。

列出证书的授权列表
winhttpcertcfg -l -c LOCAL_MACHINE\My -s ParkingServer -a "NETWORKSERVICE"

给IIS的NETWORKSERVICE账户以基于证书名称模式授权
winhttpcertcfg -g -c LOCAL_MACHINE\My -s ParkingServer -a "NETWORKSERVICE"

给IIS的NETWORKSERVICE账户以基于证书文件模式授权
winhttpcertcfg -g -i "ParkingServer.pfx" -c LOCAL_MACHINE\My -a "NETWORKSERVICE" -p

移除账号对于证书的授权

winhttpcertcfg -r -c LOCAL_MACHINE\My -s ParkingServer -a "NETWORKSERVICE"