<ověřování> elementu <clientCertificate>
Určuje chování ověřování pro klientské certifikáty používané službou.
<Konfigurace>
<System.servicemodel>
<Chování>
<serviceBehaviors>
<Chování>
<přihlašovací údaje služby>
<clientCertificate>
<Ověřování>
Syntax
<authentication customCertificateValidatorType="namespace.typeName, [,AssemblyName] [,Version=version number] [,Culture=culture] [,PublicKeyToken=token]"
certificateValidationMode="ChainTrust/None/PeerTrust/PeerOrChainTrust/Custom"
includeWindowsGroups="Boolean"
mapClientCertificateToWindowsAccount="Boolean"
revocationMode="NoCheck/Online/Offline"
trustedStoreLocation="CurrentUser/LocalMachine" />
Atributy a elementy
Následující části popisují atributy, podřízené a nadřazené elementy.
Atributy
| Atribut | Popis |
|---|---|
| customCertificateValidatorType | Volitelný řetězec. Typ a sestavení sloužící k ověření vlastního typu. Tento atribut musí být nastaven na certificateValidationModeCustomhodnotu . |
| certificateValidationMode | Volitelný výčet. Určuje jeden z režimů používaných k ověření přihlašovacích údajů. Tento atribut je X509CertificateValidationMode typu . Pokud je nastavená hodnota X509CertificateValidationMode.Custom, customCertificateValidator musí být zadána také hodnota . Výchozí formát je X509CertificateValidationMode.ChainTrust. |
| includeWindowsGroups | Volitelná logická hodnota. Určuje, jestli jsou skupiny Windows zahrnuté v kontextu zabezpečení. Nastavení tohoto atributu na má dopad na true výkon, protože vede k úplnému rozšíření skupiny. Pokud nepotřebujete vytvořit seznam skupin, do nichž uživatel patří, nastavte tento atribut false na hodnotu . |
| mapClientCertificateToWindowsAccount | Boolean. Určuje, jestli lze klienta namapovat na identitu systému Windows pomocí certifikátu. K tomu musí být povolená služba Active Directory. |
| revocationMode | Volitelný výčet. Jeden z režimů používaných ke kontrole seznamů odvolaných certifikátů (RCL). Výchozí formát je Online. Tato hodnota se při použití zabezpečení přenosu HTTP ignoruje. |
| trustedStoreLocation | Volitelný výčet. Jedno ze dvou umístění systémového úložiště: LocalMachine nebo CurrentUser. Tato hodnota se používá při vyjednávání certifikátu služby klientovi. Ověření se provádí v důvěryhodném úložišti Lidé v zadaném umístění úložiště. Výchozí formát je CurrentUser. |
customCertificateValidatorType – atribut
| Hodnota | Popis |
|---|---|
| Řetězec | Určuje název typu, sestavení a další data použitá k vyhledání typu. |
certificateValidationMode – atribut
| Hodnota | Popis |
|---|---|
| Výčet | Jedna z následujících hodnot: None, PeerTrust, ChainTrust, PeerOrChainTrust, Custom. Další informace najdete v tématu Práce s certifikáty. |
revocationMode – atribut
| Hodnota | Popis |
|---|---|
| Výčet | Jedna z následujících hodnot: NoCheck, Online, Offline. Další informace najdete v tématu Práce s certifikáty. |
atribut trustedStoreLocation
| Hodnota | Popis |
|---|---|
| Výčet | Jedna z následujících hodnot: LocalMachine nebo CurrentUser. Výchozí formát je CurrentUser. Pokud klientská aplikace běží pod systémovým účtem, certifikát je obvykle pod položkou LocalMachine. Pokud klientská aplikace běží pod uživatelským účtem, certifikát je obvykle v CurrentUser. |
Podřízené elementy
Žádné
Nadřazené elementy
| Element | Popis |
|---|---|
| <clientCertificate> | Definuje certifikát X.509 používaný k ověření klienta pro službu. |
Poznámky
Element <authentication> odpovídá X509ClientCertificateAuthentication třídě . Umožňuje přizpůsobit způsob ověřování klientů. Atribut můžete nastavit na certificateValidationModeNone, ChainTrust, PeerOrChainTrust, PeerTrustnebo Custom. Ve výchozím nastavení je úroveň nastavená na ChainTrust, což určuje, že každý certifikát musí být nalezen v hierarchii certifikátů, která končí kořenovou autoritou v horní části řetězce. Toto je nejbezpečnější režim. Můžete také nastavit hodnotu na PeerOrChainTrust, která určuje, že se akceptují certifikáty vystavené svým držitelem (vztah důvěryhodnosti) i certifikáty, které jsou v důvěryhodném řetězu. Tato hodnota se používá při vývoji a ladění klientů a služeb, protože certifikáty vydané svým držitelem není nutné kupovat od důvěryhodné autority. Při nasazování klienta použijte ChainTrust místo toho hodnotu .
Můžete také nastavit hodnotu na Custom. Při nastavení na Custom hodnotu musíte také nastavit customCertificateValidatorType atribut na sestavení a typ použitý k ověření certifikátu. Chcete-li vytvořit vlastní validátor, musíte dědit z abstraktní X509CertificateValidator třídy. Další informace najdete v tématu Postupy: Vytvoření služby, která využívá vlastní validátor certifikátů.
Příklad
Následující kód určuje certifikát X.509 a vlastní typ ověření v elementu <authentication> .
<serviceBehaviors>
<behavior name="myServiceBehavior">
<clientCertificate>
<certificate findValue="www.cohowinery.com"
storeLocation="CurrentUser"
storeName="TrustedPeople"
x509FindType="FindByIssuerName" />
<authentication customCertificateValidatorType="MyTypes.Coho"
certificateValidationMode="Custom"
revocationMode="Offline"
includeWindowsGroups="false"
mapClientCertificateToWindowsAccount="true" />
</clientCertificate>
</behavior>
</serviceBehaviors>
