방법: 서명 및 암호화에 별도의 X.509 인증서 사용

이 항목에서는 클라이언트와 서비스에서 메시지 서명 및 암호화에 서로 다른 인증서를 사용하기 위한 WCF(Windows Communication Foundation) 구성 방법에 대해 설명합니다.

서명 및 암호화에 별도의 인증서를 사용하려면, WCF에서는 여러 클라이언트 또는 서비스 인증서를 설정하기 위한 API가 제공되지 않으므로 사용자 지정 클라이언트나 서비스 자격 증명(또는 모두)을 만들어야 합니다. 또한 여러 개의 인증서 정보를 활용하고 지정된 키 사용과 메시지 방향에 적합한 보안 토큰 공급자를 만들기 위해 보안 토큰 관리자도 제공되어야 합니다.

다음 다이어그램에서는 사용되는 주 클래스, 상속하는 클래스(위쪽 화살표로 표시), 특정 메서드 및 속성의 반환 형식을 보여 줍니다.

• MyClientCredentials는 ClientCredentials의 사용자 지정 구현입니다.
  • 다이어그램에 표시된 속성은 모두 X509Certificate2 인스턴스를 반환합니다.
  • 메서드 CreateSecurityTokenManager는 MyClientCredentialsSecurityTokenManager 인스턴스를 반환합니다.
• MyClientCredentialsSecurityTokenManager는 ClientCredentialsSecurityTokenManager의 사용자 지정 구현입니다.
  • 메서드 CreateSecurityTokenProvider는 X509SecurityTokenProvider 인스턴스를 반환합니다.

사용자 지정 자격 증명에 대한 자세한 내용은 방법: 사용자 지정 클라이언트 및 서비스 자격 증명 만들기를 참조하십시오.

또한 사용자 지정 ID 검증 도구를 만들고 사용자 지정 바인딩의 보안 바인딩 요소에 연결해야 합니다. 그리고 기본 자격 증명 대신 사용자 지정 자격 증명을 사용해야 합니다.

다음 다이어그램에서는 사용자 지정 바인딩에 관련된 클래스 및 사용자 지정 ID 검증 도구를 연결하는 방법을 보여 줍니다. 여러 바인딩 요소가 관련되어 있으며 이들 요소는 모두 BindingElement에서 상속합니다. AsymmetricSecurityBindingElement에는 LocalClientSecuritySettings 속성이 있습니다. 이 속성은 MyIdentityVerifier가 사용자 지정되는 IdentityVerifier 인스턴스를 반환합니다.

사용자 지정 ID 검증 도구를 만드는 에 대한 자세한 내용은 방법: 방법: 사용자 지정 클라이언트 ID 검증 도구 만들기를 참조하십시오.

서명 및 암호화에 별도의 인증서를 사용하려면

1. ClientCredentials 클래스에서 상속되는 새로운 클라이언트 자격 증명 클래스를 정의합니다. 여러 인증서 지정을 허용하는 네 가지 새 속성인 ClientSigningCertificate, ClientEncryptingCertificate, ServiceSigningCertificate 및 ServiceEncryptingCertificate를 구현합니다. 또한 CreateSecurityTokenManager 메서드를 재정의하여 다음 단계에 정의된 사용자 지정된 ClientCredentialsSecurityTokenManager 클래스의 인스턴스를 반환합니다.

2. ClientCredentialsSecurityTokenManager 클래스에서 상속되는 새로운 클라이언트 보안 토큰 관리자를 정의합니다. 올바른 보안 토큰 공급자를 만들기 위해 CreateSecurityTokenProvider 메서드를 재정의합니다. 메시지 방향과 키 사용은 requirement 매개 변수(SecurityTokenRequirement)를 통해 제공됩니다.

3. ServiceCredentials 클래스에서 상속되는 새로운 서비스 자격 증명 클래스를 정의합니다. 여러 인증서 지정을 허용하는 네 가지 새 속성인 ClientSigningCertificate, ClientEncryptingCertificate, ServiceSigningCertificate 및 ServiceEncryptingCertificate를 구현합니다. 또한 CreateSecurityTokenManager 메서드를 재정의하여 다음 단계에 정의된 사용자 지정된 ServiceCredentialsSecurityTokenManager 클래스의 인스턴스를 반환합니다.

4. ServiceCredentialsSecurityTokenManager 클래스에서 상속되는 새로운 서비스 보안 토큰 관리자를 정의합니다. 전달된 메시지 방향과 키 사용에 적합한 보안 토큰 공급자를 만들기 위해 CreateSecurityTokenProvider 메서드를 재정의합니다.

클라이언트에 여러 인증서를 사용하려면

1. 사용자 지정 바인딩을 만듭니다. 보안 바인딩 요소는 요청 및 응답에 서로 다른 보안 토큰 공급자를 사용할 수 있도록 이중 모드로 작동되어야 합니다. 이를 위한 한 가지 방법은 다음 코드에서와 같이 CompositeDuplexBindingElement를 사용하거나 이중 가능 전송을 사용하는 것입니다. 다음 단계에 정의된 사용자 지정된 IdentityVerifier를 보안 바인딩 요소에 연결합니다. 기본 클라이언트 자격 증명을 이전에 만든 사용자 지정된 클라이언트 자격 증명으로 바꿉니다.

2. 사용자 지정 IdentityVerifier를 정의합니다. 요청을 암호화하고 응답을 서명하는 데 서로 다른 인증서가 사용되므로 서비스에는 여러 개의 ID가 있습니다.

   참고

   다음 샘플에 제공된 사용자 지정 ID 검증 도구는 끝점 ID 확인을 수행하지 않는 데모용이므로, 프로덕션 코드에 사용하지 않는 것이 좋습니다.

서비스에 여러 인증서를 사용하려면

1. 사용자 지정 바인딩을 만듭니다. 보안 바인딩 요소는 요청 및 응답에 서로 다른 보안 토큰 공급자를 사용할 수 있도록 이중 모드로 작동되어야 합니다. 클라이언트와 마찬가지로, 다음 코드에서와 같이 CompositeDuplexBindingElement를 사용하거나 이중 가능 전송을 사용합니다. 기본 서비스 자격 증명을 이전에 만든 사용자 지정된 서비스 자격 증명으로 바꿉니다.

참고 항목

참조

ClientCredentials
ServiceCredentials
ClientCredentialsSecurityTokenManager
ServiceCredentialsSecurityTokenManager
IdentityVerifier

개념

방법: 사용자 지정 클라이언트 및 서비스 자격 증명 만들기