Вопрос конфигурации безопасности транспорта WCF

Question

У нас есть служба Windows с привязкой tcp.Он имеет режим безопасности транспорта и тип учетных данных клиента - Windows.Служба находится в домене.

Теперь мы хотим сделать вызовы этой службы из приложения ASP.NET, работающего на IIS, который не является частью домена.Нам не нужно олицетворение пользователя.Какой самый безопасный способ включить такого рода связь?

Это довольно стандартная ситуация: веб-сервер находится в DMZ, и я хотел бы знать, как установить защищенную связь с внутренними службами WCF.*

Answer 1

Я ожидаю, что это не будет работать. Вы не можете использовать Windows тип учетных данных клиента, если вы хотите использовать службу за пределами вашего домена. Вы должны использовать Certificate (или None, но это означает отсутствие аутентификации).

Разница в том, что Windows учетные данные клиента создадут поток, защищенный с помощью SSPI, тогда как Certificate и None учетные данные клиента создадут поток, защищенный сертификатом SSL. В случае Certificate учетных данных клиента каждый клиент будет идентифицирован своим собственным сертификатом (= он нужен для вашего IIS-сервера).