Служба WCF, использующая подстановочный сертификат, выдающий ошибку идентификации DNS

Question

У меня есть веб-служба WCF, настроенная для использования безопасности на основе сообщений. Служба использует подстановочный сертификат для защиты сообщения: * .domain.com

После обновления сертификата SSL служба теперь выдает следующую ошибку:

"Проверка подлинности не удалась для исходящего сообщения. Ожидаемая идентификация DNS удаленной конечной точки была" * .domain.com ", но удаленная конечная точка предоставила DNS-запрос" domain.com ". ..."

Как я могу это исправить, чтобы служба по-прежнему отвечала * .domain.com в качестве претензии DNS?

К сожалению, обновление клиентских конфигураций на самом деле не позволяет использовать новое утверждение DNS через свойство удостоверения DNS.

Спасибо, Mark

Answer 1

Это ошибка в WCF.Посетите сайт connect и проголосуйте, если это проблема блокировки.http://connect.microsoft.com/wcf/feedback/details/683178/wcf-x509-certificate-validation-only-checks-last-dnsname-in-subject-alternative-name

Answer 2

Параметр dns для клиента просто используется для проверки подлинности сертификатов, поэтому вы можете просто установить dns клиента на «domain.com» вместо «service.domain.com».

Answer 3

Оказывается, проблема была в списке SAN в Wild Card Cert. Порядок, в котором перечислены домены, был:

*.domain.com
domain.com

WCF в основном всегда разрешал последний элемент в списке SAN. Я наткнулся на несколько статей, где у Office Communicator была похожая проблема. Я не уверен, является ли это ошибкой WCF или нет.

Мое решение состояло в том, чтобы попросить центр сертификации сгенерировать мне подстановочный сертификат без атрибута SAN.