<ověřování> elementu <serviceCertificate>
Určuje nastavení používaná klientským proxy serverem k ověřování certifikátů služby získaných pomocí vyjednávání SSL/TLS.
<Konfigurace>
<System.servicemodel>
<Chování>
<koncové bodyBehaviors>
<Chování>
<clientCredentials>
<serviceCertificate>
<Ověřování>
Syntax
<authentication customCertificateValidatorType="String"
certificateValidationMode="None/PeerTrust/ChainTrust/PeerOrChainTrust/Custom"
revocationMode="NoCheck/Online/Offline"
trustedStoreLocation="LocalMachine/CurrentUser" />
Atributy a elementy
Následující části popisují atributy, podřízené a nadřazené elementy.
Atributy
| Atribut | Popis |
|---|---|
| customCertificateValidatorType | Řetězec. Typ a sestavení sloužící k ověření vlastního typu. |
| certificateValidationMode | Určuje jeden ze tří režimů, který se používá k ověření přihlašovacích údajů. Pokud je nastavená na Customhodnotu , musí být zadán také customCertificateValidator. Výchozí formát je ChainTrust. |
| revocationMode | Jeden z režimů používaných ke kontrole seznamů odvolaných certifikátů (CRL). Výchozí formát je Online. |
| trustedStoreLocation | Jedno ze dvou umístění systémového úložiště: LocalMachine nebo CurrentUser. Tato hodnota se používá při vyjednávání certifikátu služby klientovi. Ověření se provádí v důvěryhodném úložišti Lidé v zadaném umístění úložiště. Výchozí formát je CurrentUser. |
customCertificateValidator – atribut
| Hodnota | Popis |
|---|---|
| Řetězec | Určuje název typu, sestavení a další data použitá k vyhledání typu. |
certificateValidationMode – atribut
| Hodnota | Popis |
|---|---|
| Výčet | Jedna z následujících hodnot: None, PeerTrust, ChainTrust, PeerOrChainTrust, Custom. Další informace najdete v tématu Práce s certifikáty. |
revocationMode – atribut
| Hodnota | Popis |
|---|---|
| Výčet | Jedna z následujících hodnot: NoCheck, Online, Offline. Další informace najdete v tématu Práce s certifikáty. |
atribut trustedStoreLocation
| Hodnota | Popis |
|---|---|
| Výčet | Jedna z následujících hodnot: LocalMachine nebo CurrentUser. Výchozí hodnota je CurrentUser. Pokud klientská aplikace běží pod systémovým účtem, certifikát je obvykle ve složce LocalMachine. Pokud klientská aplikace běží pod uživatelským účtem, pak je certifikát obvykle v CurrentUser. |
Podřízené elementy
Žádné
Nadřazené elementy
| Element | Popis |
|---|---|
| <serviceCertificate> | Určuje certifikát, který se má použít při ověřování služby v klientovi. |
Poznámky
Atribut certificateValidationMode tohoto elementu konfigurace určuje úroveň důvěryhodnosti používanou k ověřování certifikátů. Ve výchozím nastavení je úroveň nastavená na ChainTrust, což určuje, že každý certifikát musí být nalezen v hierarchii certifikátů končících důvěryhodnou certifikační autoritou v horní části řetězce. Toto je nejbezpečnější režim. Můžete také nastavit hodnotu na PeerOrChainTrust, která určuje, že se akceptují certifikáty vystavené svým držitelem (vztah důvěryhodnosti) i certifikáty, které jsou v důvěryhodném řetězu. Tato hodnota se používá při vývoji a ladění klientů a služeb, protože certifikáty vydané svým držitelem není nutné kupovat od důvěryhodné autority. Při nasazování klienta použijte ChainTrust místo toho hodnotu . Můžete také nastavit hodnotu na Custom nebo None. Chcete-li použít Custom hodnotu, musíte také nastavit customCertificateValidator atribut na sestavení a typ použitý k ověření certifikátu. Chcete-li vytvořit vlastní validátor, musíte dědit z abstraktní X509CertificateValidator třídy. Další informace najdete v tématu Postupy: Vytvoření služby, která využívá vlastní validátor certifikátů.
Atribut revocationMode určuje, jak se kontroluje odvolání certifikátů. Výchozí hodnota znamená online , že certifikáty budou automaticky kontrolovány pro odvolání. Další informace najdete v tématu Práce s certifikáty.
Příklad
Následující příklad provede dvě úlohy. Nejprve určí certifikát služby pro klienta, který se má použít při komunikaci s koncovými body, jejichž název domény je www.contoso.com přes protokol HTTP. Za druhé určuje režim odvolání a umístění úložiště použitého během ověřování.
<serviceCertificate>
<defaultCertificate findValue="www.contoso.com"
storeLocation="LocalMachine"
storeName="TrustedPeople"
x509FindType="FindByIssuerDistinguishedName" />
<scopedCertificates>
<add targetUri="http://www.contoso.com"
findValue="www.contoso.com"
storeLocation="LocalMachine"
storeName="Root"
x509FindType="FindByIssuerName" />
</scopedCertificates>
<authentication revocationMode="Online"
trustedStoreLocation="LocalMachine" />
</serviceCertificate>
Viz také
- X509RecipientCertificateClientElement
- X509CertificateRecipientClientCredential
- Authentication
- X509ServiceCertificateAuthentication
- Chování zabezpečení
- Práce s certifikáty
- Postupy: Vytvoření služby, která používá vlastní validátor certifikátů
- <Ověřování>
- Zabezpečení klientů
- Zabezpečení služeb a klientů
