一 : WCF 传输安全 1 前期准备之证书制作

近几日一直在学习WCF传输安全方面的知识，在园子里淘了好久，也查了不少资料，终于有所了解，遂成此文，与大家分享！

一、WCF中的安全方式

说到安全就会涉及到认证，消息一致性和机密性，WCF的安全方式分为两种，即传输安全和消息安全。（www.61k.com]

传输安全和消息安全的区别：
传输安全提供点对点的安全： 比如 A 提供服务，B和C直接连接到A，这时候A与B 及 A与C直接的传输是安全的，如果B通过C连接到A，那么A与B直接是安全的，B与C之间是不安全的。
消息安全：是把安全机制都应用在消息级别上面的，能够提供端对端的安全，不管消息的路由路径多么复杂，也能保证消息的安全传输。
传输安全我们一般应用在局域网中，消息安全主要应用在复杂的互联网环境中，传输安全有着消息安全不可比拟的优势就是高性能。

二、如何制作证书

既然是传输安全就必然会用到SSL，Https，就会涉及到数字证书，数字证书的概念和原理我们就不介绍了，百度一下就Ok，我们只要知道它是为我们的服务器端和客户端提供身份认证和能为我们的消息提供加密的东东就可以了。首先我们来演示一下制作证书的过程：

Windows server 系统都有证书服务的，我们可以通过添加证书服务来制作证书，具体操作可以参照这篇文章。

我们后面的DEMO环境都是在Win7 +vs2010环境下面进行的，因此我们只能通过MakeCert命令方式创建证书，并通过netsh程序给端口注册证书。

1、MakeCert 命令 可以通过 Visual Studio 命令提示输入“ MakeCert”运行，命令主要参数介绍：（参数有很多，不一一列出，只列出我们使用的）

-n ：证书的主题名称；例如 -n "CN=计算机名称"
-pe：将生成的私钥标记可导出；
-sr：数字证书的位置(CurrentUser代表当前帐户；LocalMachine代表本机)
-ss：证书的存储区；-sky: 指定密钥的类型（signature：签名密钥；exchange：交换密钥）
-r ：创建自签证书

注意：-n "CN=计算机名称" 默认为计算机名称，实际项目中可以为网站的名称，比如：wwww.xxx.com，当然你也可以使用其他名称，但是在WCF调用的时候会有信任关系异常提示，Demo中我们会进行介绍

2、netsh.exe 位于 C:\Windows\System32 目录下:

查看SSL证书的绑定:  netsh> http show sslcert
将证书与端口进行绑定: netsh>http add sslcert ipport=0.0.0.0:端口号 certhash=证书的指纹 appid={一个有效的GUID} 
删除端口绑定的证书:  netsh>http delete sslcert ipport=0.0.0.0:端口 

三、制作一个证书并绑定到ip地址端口：

1、制作证书：

我们启动Visual Studio 命令提示工具，然后输入：makecert -sr localmachine -ss My -n "CN=Lx-PC" -sky exchange -pe -r，回车，提示成功！

如何查看这个证书呢?这个证书放到哪里了呢？

我们可以通过运行MMC命令打开控制台，选择 “文件” 菜单中的 “添加或删除管理单元” 打开该对话框，在弹出的对话框左面选择 “证书” ：

并点击 “添加” 弹出 “证书管理” 对话框，我们选择 “计算机帐户” ，并点击 “下一步” ，选择 “本地计算机” 之后，点击完成。当然还可以在继续添加一个 “我的用户帐户”，如下图：

点击 “确定” 之后，我们可以在 “证书（本地计算机）” --“个人”--“证书” 节点中 ，看到我们创建的 “Lx-PC” 证书;

接下来要做的是将该证书加入到 “受信任的根证书颁发机构” 和 “受信任人” 节点中，至于为什么会这么做。举个简单的例子，身份证就是我们的证书，谁是可信任的颁发机构，当然是当地xxx公安单位了，如果不是权威机构发布的证书，那么该证书肯定是有问题的了。

我们 “右击” 我们创建的证书，选择 “所有任务”--“导出”，打开 “证书导出” 对话框，选择 “下一步” 后，选择 “是，导出密钥”

并点击 “下一步”，默认选择“个人信息交换”，

继续点击 “下一步” ，输入 密码 “123456”，

点击 “下一步” 后，选择 “浏览” ，文件命名为 “lxpc.pfx”，并保存到桌面。

之后，我们分别右击 “受信任的根证书颁发机构” 节点和 “受信任人” 节点，选择 “所有任务” --“导入” 。选择我们刚刚导出到桌面的lxpc.pfx 文件，并输入 密码123456，之后，就分别导入到两个节点中了。

扩展：社会实践前期准备 / 社会实践前期准备工作 / 暑期社会实践前期准备

2、利用netsh 命令将制作的证书绑定到端口：

这时候我们需要查看证书的指纹: 双击我们的证书，选择详细信息标签

记录下该证书的指纹‎为：63c06b2292c76391fe075becb01e4a1f350a5a87

接着，我们通过windows 控制台 cmd，运行 netsh 命令，并输入：

http add sslcert ipport=0.0.0.0:9000 certhash=‎63c06b2292c76391fe075becb01e4a1f350a5a87 appid={BFC5621F-EF33-1234-AD7E-51EDDAEC5234}

结果显示：

我们可以利用 netsh> http show sslcert 来查看我们的证书是否绑定到了9000端口：

由图可见：我们已经将我们刚刚制作的证书 绑定到了 9000端口。

好了，前期证书工作准备完成，下一篇我们来通过利用证书通过SSL实现一个对服务器端进行认证，但是对客户端采用匿名方式的WCF 例子。

扩展：社会实践前期准备 / 社会实践前期准备工作 / 暑期社会实践前期准备

二 : 沃通免费SSL证书助您轻松应对苹果ATS安全标准

　　苹果宣布2017年1月1日起，所有提交到 App Store 的App必须强制开启ATS安全标准(App Transport Security)，强制使用HTTPS加密连接。届时，未启用ATS的App将可能被下架。更值得注意的是，苹果宣布ATS支持CT证书透明度，要求开发者使用支持CT证书透明度的SSL证书。

　　为了提高苹果iOS App的安全性，确保App正常上架，开发者必须为App服务器启用符合ATS要求的HTTPS证书。沃通免费SSL证书(freessl.wosign.com)，符合苹果ATS要求，支持谷歌CT证书透明度，帮助开发者轻松应对最新安全标准!

　　

 

　　苹果ATS对HTTPS证书的要求

　　启用ATS必须符合以下标准，不满足条件的HTTPS证书，ATS都会拒绝连接：

　　Ÿ 服务器所有的连接使用TLS1.2以上版本

　　Ÿ HTTPS证书必须使用SHA256以上哈希算法签名

　　Ÿ HTTPS证书必须使用RSA 2048位或ECC 256位以上公钥算法

　　Ÿ 使用前向加密技术

　　此外，苹果ATS支持CT证书透明，要求开发者使用支持CT证书透明度的SSL证书，确保SSL证书合法透明，防止中间人攻击。

　　

 

　　强制ATS安全标准及支持CT证书透明度，体现了苹果一贯的安全保护态度，而且执行的力度也很强势，iOS开发者必须按苹果标准升级服务器，才能确保App的正常发布。如何快速升级App符合苹果ATS要求同时降低HTTPS证书成本，如何正确配置HTTPS确保App安全，成为开发者最关心的问题。

　　申请沃通免费SSL证书，轻松应对ATS标准

　　沃通WoSign免费SSL证书自2015年推出以来，受到国内外用户的广泛好评，不仅完全免费，而且符合苹果ATS标准，支持谷歌CT证书透明度，支持苹果所有移动终端，免费搞定最新安全标准!

　　Ÿ 符合苹果ATS安全标准，免费升级HTTPS

　　沃通免费SSL证书，支持SHA256签名算法，支持RSA 2048位及ECC 256位公钥算法，符合ATS安全标准要求，帮助iOS开发者零成本启用HTTPS加密连接，轻松开启ATS。

　　Ÿ 全球首家完全支持CT证书透明度的免费SSL证书

　　沃通WoSign全球首家推出完全支持CT证书透明度的免费SSL证书，签发的每一张免费SSL证书都内嵌SCT数据，证明SSL证书已提交到合格的CT Log服务器，让全球开发者放心使用。

　　Ÿ 中国独家支持苹果所有移动终端(iPhone,iPad)

　　担心免费SSL证书的兼容性?沃通CA通过苹果认证，根证书预置在苹果所有浏览器及移动终端，中国独家支持苹果iPhone、iPad等移动设备，兼容性强。

　　Ÿ 真正免费，支持多年期多域名

　　沃通免费SSL证书申请流程快捷、兼容性强，支持2年期5个域名，满足开发者基本使用需求，申请、颁发、吊销都无需收费，真正做到完全免费。

　　Ÿ 7×24小时咨询响应，服务质量不打折

　　沃通WoSign本地化客户服务和技术支持团队，提供7×24小时咨询响应服务，助您快捷、安心地升级ATS安全标准。

　　正确启用HTTPS连接，防止中间人劫持

　　沃通CA认为：除了满足苹果ATS的要求外，正确配置HTTPS连接才能真正提高App的安全性。沃通CA曾针对我国一些热门App的HTTPS连接进行检测，结果显示已启用HTTPS连接的页面，98%不校验证书链和证书签发者，甚至不验证证书域名是否匹配，极易被黑客利用虚假服务器进行攻击，劫持加密流量。下图显示了某电商移动APP与虚假服务器完成SSL握手。

　　某电商移动APP与虚假服务器完成SSL握手

　　沃通CA建议iOS开发者在配置HTTPS连接时，注意以下几点：

　　Ÿ 向正规的CA机构(如沃通CA)申请符合ATS要求的SSL证书

　　Ÿ 校验证书链

　　Ÿ 校验证书签发者

　　Ÿ 校验证书域名是否匹配

　　如果您对如何正确启用HTTPS连接有疑问，沃通CA提供专业的技术咨询，帮助用户更加安全地配置HTTPS证书，正确启用HTTPS加密连接。

　　关于沃通WoSign

　　沃通WoSign(www.wosign.com)是中国最大的自主品牌数字证书颁发机构(CA)，通过WebTrust国际认证及工信部许可，符合中国标准和国际标准。Netcraft统计显示，沃通CA在中国SSL证书市场占有率蝉联第一，成为首个赶超国外CA的中国SSL证书品牌，国内三分之一的SSL证书用户选择沃通WoSign。

　　2016年7月，沃通CA率先高出国际标准要求，将所有SSL证书(包含免费SSL证书)都升级支持CT证书透明度，透明力度远超国外CA。支持CT证书透明度，意味着沃通CA签发的每一张SSL证书都接受全球用户的监督，确保签发过程的透明可信，让全球用户都能放心使用沃通SSL证书。

本文标题：安全标准化证书有效期-WCF 传输安全 1 前期准备之证书制作
本文地址： http://www.61k.com/1129818.html