Procedura: Configurare una porta con un certificato SSL

Quando si crea un servizio Windows Communication Foundation (WCF) self-hosted con la classe WSHttpBinding che usa la sicurezza del trasporto, è necessario configurare anche una porta con un certificato X.509. Se non si crea un servizio self-hosted, è possibile ospitare il servizio in Internet Information Services (IIS). Per altre informazioni, vedere HTTP Transport Security.

Per configurare una porta, lo strumento usato dipende dal sistema operativo in esecuzione nel computer.

Se si esegue Windows Server 2003, usare lo strumento HttpCfg.exe. In Windows Server 2003 questo strumento è installato. Per ulteriori informazioni, consultare la Panoramica di Httpcfg . La documentazione strumenti di supporto di Windows illustra la sintassi per lo strumento Httpcfg.exe.

Se si esegue Windows Vista, usare lo strumento Netsh.exe già installato.

Nota

La modifica dei certificati archiviati nel computer richiede privilegi amministrativi.

Determinare la configurazione delle porte

1. In Windows Server 2003 o Windows XP, utilizzare lo strumento HttpCfg.exe per visualizzare la configurazione della porta corrente, usando le opzioni switch e ssl, come illustrato nell'esempio seguente.

   httpcfg query ssl  
   

2. In Windows Vista usare lo strumento Netsh.exe per visualizzare la configurazione della porta corrente, come illustrato nell'esempio seguente.

   netsh http show sslcert  
   

Ottenere l'impronta digitale di un certificato

1. Usare lo snap-in MMC Certificati per trovare un certificato X.509 con lo scopo previsto dell'autenticazione client. Per altre informazioni, vedere Procedura: Visualizzare i certificati con lo snap-in MMC.

2. Accedi all'impronta digitale del certificato. Per ulteriori informazioni, vedere Procedura: Recuperare l'impronta digitale di un certificato.

3. ** Copia l'impronta digitale del certificato in un editor di testo, come Blocco note.

4. Rimuovere tutti gli spazi tra i caratteri esadecimali. Un modo per eseguire questa operazione consiste nell'usare la funzionalità di ricerca e sostituzione dell'editor di testo e sostituire ogni spazio con un carattere Null.

Associare un certificato SSL a un numero di porta

1. In Windows Server 2003 o Windows XP usare lo strumento HttpCfg.exe in modalità "set" nell'archivio SSL (Secure Sockets Layer) per associare il certificato a un numero di porta. Lo strumento usa l'impronta digitale per riconoscere il certificato, come illustrato nell'esempio seguente.

   httpcfg set ssl -i 0.0.0.0:8012 -h 0000000000003ed9cd0c315bbb6dc1c08da5e6  
   

   • L'opzione -i ha la sintassi di IP:port e indica allo strumento di impostare il certificato sulla porta 8012 del computer. Facoltativamente, i quattro zere che precedono il numero possono anche essere sostituiti dall'indirizzo IP effettivo del computer.

   • L'opzione -h specifica l'impronta digitale del certificato.

2. In Windows Vista usare lo strumento Netsh.exe, come illustrato nell'esempio seguente.

   netsh http add sslcert ipport=0.0.0.0:8000 certhash=0000000000003ed9cd0c315bbb6dc1c08da5e6 appid={00001111-aaaa-2222-bbbb-3333cccc4444}
   

   • Il parametro certhash specifica l'impronta digitale del certificato.

   • Il parametro ipport specifica l'indirizzo IP e la porta e funziona esattamente come l'opzione -i dello strumento di Httpcfg.exe descritto.

   • Il parametro appid è un GUID che può essere usato per identificare l'applicazione proprietaria.

Associare un certificato SSL a un numero di porta e supportare i certificati client

1. In Windows Server 2003 o Windows XP, per supportare i client che eseguono l'autenticazione con certificati X.509 a livello di trasporto, seguire la procedura precedente ma passare un parametro della riga di comando aggiuntivo a HttpCfg.exe, come illustrato nell'esempio seguente.

   httpcfg set ssl -i 0.0.0.0:8012 -h 0000000000003ed9cd0c315bbb6dc1c08da5e6 -f 2  
   

   L'opzione -f ha la sintassi di n dove n è un numero compreso tra 1 e 7. Il valore 2, come illustrato nell'esempio precedente, abilita i certificati client a livello di trasporto. Il valore 3 abilita i certificati client ed esegue il mapping di tali certificati a un account di Windows. Per informazioni sul comportamento di altri valori, vedere HttpCfg.exe Guida.

2. In Windows Vista, per supportare i client che eseguono l'autenticazione con certificati X.509 a livello di trasporto, seguire la procedura precedente, ma con un parametro aggiuntivo, come illustrato nell'esempio seguente.

   netsh http add sslcert ipport=0.0.0.0:8000 certhash=0000000000003ed9cd0c315bbb6dc1c08da5e6 appid={00001111-aaaa-2222-bbbb-3333cccc4444} clientcertnegotiation=enable  
   

Eliminare un certificato SSL da un numero di porta

1. Utilizzare lo strumento HttpCfg.exe o Netsh.exe per visualizzare le porte e le impronte digitali di tutti i collegamenti sul computer. Per stampare le informazioni su disco, usare il carattere di reindirizzamento ">", come illustrato nell'esempio seguente.

   httpcfg query ssl>myMachinePorts.txt  
   

2. In Windows Server 2003 o Windows XP usare lo strumento di HttpCfg.exe con le parole chiave di eliminazione e ssl. Usare l'opzione -i per specificare il numero IP:port e l'opzione -h per specificare l'impronta digitale.

   httpcfg delete ssl -i 0.0.0.0:8005 -h 0000000000003ed9cd0c315bbb6dc1c08da5e6  
   

3. In Windows Vista usare lo strumento Netsh.exe, come illustrato nell'esempio seguente.

   Netsh http delete sslcert ipport=0.0.0.0:8005  
   

Esempio

Il codice seguente illustra come creare un servizio self-hosted usando la classe WSHttpBinding impostata sulla sicurezza del trasporto. Quando si crea un'applicazione, specificare il numero di porta nell'indirizzo.

// This string uses a function to prepend the computer name at run time.
string addressHttp = String.Format(
    "http://{0}:8080/Calculator",
    System.Net.Dns.GetHostEntry("").HostName);

WSHttpBinding b = new WSHttpBinding();
b.Security.Mode = SecurityMode.Transport;
b.Security.Transport.ClientCredentialType = HttpClientCredentialType.Certificate;

// You must create an array of URI objects to have a base address.
Uri a = new Uri(addressHttp);
Uri[] baseAddresses = new Uri[] { a };

// Create the ServiceHost. The service type (Calculator) is not
// shown here.
ServiceHost sh = new ServiceHost(typeof(Calculator), baseAddresses);

// Add an endpoint to the service. Insert the thumbprint of an X.509
// certificate found on your computer.
Type c = typeof(ICalculator);
sh.AddServiceEndpoint(c, b, "MyCalculator");
sh.Credentials.ServiceCertificate.SetCertificate(
    StoreLocation.LocalMachine,
    StoreName.My,
    X509FindType.FindBySubjectName,
    "contoso.com");

// This next line is optional. It specifies that the client's certificate
// does not have to be issued by a trusted authority, but can be issued
// by a peer if it is in the Trusted People store. Do not use this setting
// for production code. The default is PeerTrust, which specifies that
// the certificate must originate from a trusted certificate authority.

// sh.Credentials.ClientCertificate.Authentication.CertificateValidationMode =
// X509CertificateValidationMode.PeerOrChainTrust;
try
{
    sh.Open();

    string address = sh.Description.Endpoints[0].ListenUri.AbsoluteUri;
    Console.WriteLine($"Listening @ {address}");
    Console.WriteLine("Press enter to close the service");
    Console.ReadLine();
    sh.Close();
}
catch (CommunicationException ce)
{
    Console.WriteLine($"A communication error occurred: {ce.Message}");
    Console.WriteLine();
}
catch (System.Exception exc)
{
    Console.WriteLine($"An unforeseen error occurred: {exc.Message}");
    Console.ReadLine();
}

' This string uses a function to prepend the computer name at run time.
Dim addressHttp As String = String.Format("http://{0}:8080/Calculator", _
System.Net.Dns.GetHostEntry("").HostName)

Dim b As New WSHttpBinding()
b.Security.Mode = SecurityMode.Transport
b.Security.Transport.ClientCredentialType = HttpClientCredentialType.Certificate

' You must create an array of URI objects to have a base address.
Dim a As New Uri(addressHttp)
Dim baseAddresses() As Uri = {a}

' Create the ServiceHost. The service type (Calculator) is not
' shown here.
Dim sh As New ServiceHost(GetType(Calculator), baseAddresses)

' Add an endpoint to the service. Insert the thumbprint of an X.509 
' certificate found on your computer. 
Dim c As Type = GetType(ICalculator)
sh.AddServiceEndpoint(c, b, "MyCalculator")
sh.Credentials.ServiceCertificate.SetCertificate( _
                StoreLocation.LocalMachine, _
                StoreName.My, _
                X509FindType.FindBySubjectName, _
                "contoso.com")

' This next line is optional. It specifies that the client's certificate
' does not have to be issued by a trusted authority, but can be issued
' by a peer if it is in the Trusted People store. Do not use this setting
' for production code. The default is PeerTrust, which specifies that 
' the certificate must originate from a trusted certificate authority.
' sh.Credentials.ClientCertificate.Authentication.CertificateValidationMode =
' X509CertificateValidationMode.PeerOrChainTrust
Try
    sh.Open()

    Dim address As String = sh.Description.Endpoints(0).ListenUri.AbsoluteUri
    Console.WriteLine("Listening @ {0}", address)
    Console.WriteLine("Press enter to close the service")
    Console.ReadLine()
    sh.Close()
Catch ce As CommunicationException
    Console.WriteLine("A communication error occurred: {0}", ce.Message)
    Console.WriteLine()
Catch exc As System.Exception
    Console.WriteLine("An unforeseen error occurred: {0}", exc.Message)
    Console.ReadLine()
End Try

Vedere anche

• Sicurezza del trasporto HTTP