Использование сертификата только на стороне сервера

Question

Я работаю над некоторым приложением WCF. У меня уже есть сторона клиента и сторона сервера. Оба взаимодействуют с использованием WCF netTcpBinding или netNamedPipe. Я хочу также сертификат только на стороне сервера, как и в случае HTTPS. Я нашел очень полезное руководство здесь click .

Так что в соответствии с этой статьей меня интересует вариант 1, который

Вариант один обеспечивает (C + I) для клиента не произойдет аутентификация. В этом случае для обеспечения конфиденциальности и целостности будет использоваться TCP SSL (не HTTPS SSL), а служба будет настроена следующим образом.

Пока мне все ясно, к сожалению, позже мы можем прочитать:

также вам нужно установить сертификат корневого центра сертификации для сертификата службы на клиентском компьютере (обычно на локальном компьютере). / Trusted Root Certification Authorities), и служба должна иметь приведенное ниже поведение для указания сертификата для службы.

Итак, возникает мой вопрос, есть ли способ избежать изменений на клиентском компьютере? Как упоминалось ранее, я ищу решение, похожее на WEB, где пользователь не обязан устанавливать какой-либо сертификат на свою машину.

Может быть, я что-то упустил, но, возможно, это правило применяется только тогда, когдаЯ использую самоуверенный сертификат / сертификат разработчика? Что если я получу сертификат от доверенной компании, такой как Verisign?

Answer 1

Установите сертификат на стороне клиента просто для гарантии того, что служба на стороне сервера является доверенной, а связь защищена. Как и при посещении веб-сайта, у нас обычно есть встроенный сертификат для сайта, прежде чем мы просматриваем веб-сайт, поэтому браузер запрашивает, что веб-сайт является доверенным. В отличие от самозаверяющего сертификата, сертификаты веб-сайта выдаются доверенными сторонними организациями на определенный хост (веб-сервер), поэтому все, что нам нужно сделать на стороне клиента, - это установить авторитетный доверенный сторонний сертификат перед доступом к веб-сайту. но мы непосредственно устанавливаем сертификат сервера на стороне клиента, когда настраиваем самозаверяющий сертификат в локальном ЦС.
Фактически, в браузеры / ОС уже встроены некоторые авторитетные сторонние сертификаты. такие как GlobalSign, VeriSign, поэтому нам просто нужно купить сертификат у них и настроить их на стороне сервера, и в этом случае клиент всегда доверяет серверу. Помимо установки сертификата на стороне сервера, нам также может потребоваться настроить идентификацию на стороне сервера на стороне клиента, которая обычно является открытым ключом сертификата или именем хоста. Эти конфигурации генерируются автоматически, если мы генерируем клиентский прокси и вызываем службу, добавляя ссылку на службу.
Не стесняйтесь, дайте мне знать, если есть что-то, с чем я могу помочь.

Answer 2

Вам не нужно устанавливать что-то, когда вы используете сертификат, выданный доверенным центром сертификации, таким как GoDaddy и т. Д.