Partilhar via


Como: Configurar uma porta com um certificado SSL

Ao criar um serviço WCF (Windows Communication Foundation) auto-hospedado com a classe que usa segurança WSHttpBinding de transporte, você também deve configurar uma porta com um certificado X.509. Se você não estiver criando um serviço auto-hospedado, poderá hospedá-lo no IIS (Serviços de Informações da Internet). Para obter mais informações, consulte Segurança de transporte HTTP.

Para configurar uma porta, a ferramenta que você usa depende do sistema operacional que está sendo executado em sua máquina.

Se você estiver executando o Windows Server 2003, use a ferramenta HttpCfg.exe. No Windows Server 2003, essa ferramenta é instalada. Para obter mais informações, consulte Visão geral de httpcfg. A documentação das Ferramentas de Suporte do Windows explica a sintaxe da ferramenta Httpcfg.exe.

Se você estiver executando o Windows Vista, use a ferramenta Netsh.exe que já está instalada.

Nota

A modificação de certificados armazenados no computador requer privilégios administrativos.

Determinar como as portas são configuradas

  1. No Windows Server 2003 ou Windows XP, use a ferramenta HttpCfg.exe para exibir a configuração de porta atual, usando as opções query e ssl , conforme mostrado no exemplo a seguir.

    httpcfg query ssl  
    
  2. No Windows Vista, use a ferramenta Netsh.exe para exibir a configuração de porta atual, conforme mostrado no exemplo a seguir.

    netsh http show sslcert  
    

Obter a impressão digital de um certificado

  1. Use o snap-in Certificados do MMC para localizar um certificado X.509 que tenha uma finalidade pretendida de autenticação de cliente. Para obter mais informações, consulte Como exibir certificados com o snap-in do MMC.

  2. Aceda à impressão digital do certificado. Para obter mais informações, veja Como: Obter o Thumbprint de um Certificado.

  3. Copie a impressão digital do certificado para um editor de texto, como o Bloco de Notas.

  4. Remova todos os espaços entre os caracteres hexadecimais. Uma maneira de fazer isso é usar o recurso de localizar e substituir do editor de texto e substituir cada espaço por um caractere nulo.

Vincular um certificado SSL a um número de porta

  1. No Windows Server 2003 ou Windows XP, use a ferramenta HttpCfg.exe no modo "definir" no armazenamento SSL (Secure Sockets Layer) para vincular o certificado a um número de porta. A ferramenta usa a impressão digital para identificar o certificado, conforme mostrado no exemplo a seguir.

    httpcfg set ssl -i 0.0.0.0:8012 -h 0000000000003ed9cd0c315bbb6dc1c08da5e6  
    
    • A opção -i tem a sintaxe de IP:port e instrui a ferramenta a definir o certificado para a porta 8012 do computador. Opcionalmente, os quatro zeros que precedem o número também podem ser substituídos pelo endereço IP real do computador.

    • A opção -h especifica a impressão digital do certificado.

  2. No Windows Vista, use a ferramenta Netsh.exe, conforme mostrado no exemplo a seguir.

    netsh http add sslcert ipport=0.0.0.0:8000 certhash=0000000000003ed9cd0c315bbb6dc1c08da5e6 appid={00001111-aaaa-2222-bbbb-3333cccc4444}
    
    • O parâmetro certhash especifica a impressão digital do certificado.

    • O parâmetro ipport especifica o endereço IP e a porta, e funciona exatamente como a opção -i da ferramenta Httpcfg.exe descrita.

    • O parâmetro appid é um GUID que pode ser usado para identificar o aplicativo proprietário.

Vincular um certificado SSL a um número de porta e oferecer suporte a certificados de cliente

  1. No Windows Server 2003 ou Windows XP, para oferecer suporte a clientes que se autenticam com certificados X.509 na camada de transporte, siga o procedimento anterior, mas passe um parâmetro de linha de comando adicional para HttpCfg.exe, conforme mostrado no exemplo a seguir.

    httpcfg set ssl -i 0.0.0.0:8012 -h 0000000000003ed9cd0c315bbb6dc1c08da5e6 -f 2  
    

    A opção -f tem a sintaxe de n onde n é um número entre 1 e 7. Um valor de 2, como mostrado no exemplo anterior, habilita certificados de cliente na camada de transporte. Um valor de 3 habilita certificados de cliente e mapeia esses certificados para uma conta do Windows. Consulte HttpCfg.exe Ajuda para o comportamento de outros valores.

  2. No Windows Vista, para oferecer suporte a clientes que se autenticam com certificados X.509 na camada de transporte, siga o procedimento anterior, mas com um parâmetro adicional, conforme mostrado no exemplo a seguir.

    netsh http add sslcert ipport=0.0.0.0:8000 certhash=0000000000003ed9cd0c315bbb6dc1c08da5e6 appid={00001111-aaaa-2222-bbbb-3333cccc4444} clientcertnegotiation=enable  
    

Excluir um certificado SSL de um número de porta

  1. Use a ferramenta HttpCfg.exe ou Netsh.exe para ver as portas e impressões digitais de todas as ligações no computador. Para imprimir as informações no disco, use o caractere de redirecionamento ">", conforme mostrado no exemplo a seguir.

    httpcfg query ssl>myMachinePorts.txt  
    
  2. No Windows Server 2003 ou Windows XP, use a ferramenta HttpCfg.exe com as palavras-chave delete e ssl . Use a opção -i para especificar o IPnúmero :port e a opção -h para especificar a impressão digital.

    httpcfg delete ssl -i 0.0.0.0:8005 -h 0000000000003ed9cd0c315bbb6dc1c08da5e6  
    
  3. No Windows Vista, use a ferramenta Netsh.exe, conforme mostrado no exemplo a seguir.

    Netsh http delete sslcert ipport=0.0.0.0:8005  
    

Exemplo

O código a seguir mostra como criar um serviço auto-hospedado usando a WSHttpBinding classe definida para segurança de transporte. Ao criar um aplicativo, especifique o número da porta no endereço.

// This string uses a function to prepend the computer name at run time.
string addressHttp = String.Format(
    "http://{0}:8080/Calculator",
    System.Net.Dns.GetHostEntry("").HostName);

WSHttpBinding b = new WSHttpBinding();
b.Security.Mode = SecurityMode.Transport;
b.Security.Transport.ClientCredentialType = HttpClientCredentialType.Certificate;

// You must create an array of URI objects to have a base address.
Uri a = new Uri(addressHttp);
Uri[] baseAddresses = new Uri[] { a };

// Create the ServiceHost. The service type (Calculator) is not
// shown here.
ServiceHost sh = new ServiceHost(typeof(Calculator), baseAddresses);

// Add an endpoint to the service. Insert the thumbprint of an X.509
// certificate found on your computer.
Type c = typeof(ICalculator);
sh.AddServiceEndpoint(c, b, "MyCalculator");
sh.Credentials.ServiceCertificate.SetCertificate(
    StoreLocation.LocalMachine,
    StoreName.My,
    X509FindType.FindBySubjectName,
    "contoso.com");

// This next line is optional. It specifies that the client's certificate
// does not have to be issued by a trusted authority, but can be issued
// by a peer if it is in the Trusted People store. Do not use this setting
// for production code. The default is PeerTrust, which specifies that
// the certificate must originate from a trusted certificate authority.

// sh.Credentials.ClientCertificate.Authentication.CertificateValidationMode =
// X509CertificateValidationMode.PeerOrChainTrust;
try
{
    sh.Open();

    string address = sh.Description.Endpoints[0].ListenUri.AbsoluteUri;
    Console.WriteLine("Listening @ {0}", address);
    Console.WriteLine("Press enter to close the service");
    Console.ReadLine();
    sh.Close();
}
catch (CommunicationException ce)
{
    Console.WriteLine("A communication error occurred: {0}", ce.Message);
    Console.WriteLine();
}
catch (System.Exception exc)
{
    Console.WriteLine("An unforeseen error occurred: {0}", exc.Message);
    Console.ReadLine();
}
' This string uses a function to prepend the computer name at run time.
Dim addressHttp As String = String.Format("http://{0}:8080/Calculator", _
System.Net.Dns.GetHostEntry("").HostName)

Dim b As New WSHttpBinding()
b.Security.Mode = SecurityMode.Transport
b.Security.Transport.ClientCredentialType = HttpClientCredentialType.Certificate

' You must create an array of URI objects to have a base address.
Dim a As New Uri(addressHttp)
Dim baseAddresses() As Uri = {a}

' Create the ServiceHost. The service type (Calculator) is not
' shown here.
Dim sh As New ServiceHost(GetType(Calculator), baseAddresses)

' Add an endpoint to the service. Insert the thumbprint of an X.509 
' certificate found on your computer. 
Dim c As Type = GetType(ICalculator)
sh.AddServiceEndpoint(c, b, "MyCalculator")
sh.Credentials.ServiceCertificate.SetCertificate( _
                StoreLocation.LocalMachine, _
                StoreName.My, _
                X509FindType.FindBySubjectName, _
                "contoso.com")

' This next line is optional. It specifies that the client's certificate
' does not have to be issued by a trusted authority, but can be issued
' by a peer if it is in the Trusted People store. Do not use this setting
' for production code. The default is PeerTrust, which specifies that 
' the certificate must originate from a trusted certificate authority.
' sh.Credentials.ClientCertificate.Authentication.CertificateValidationMode =
' X509CertificateValidationMode.PeerOrChainTrust
Try
    sh.Open()

    Dim address As String = sh.Description.Endpoints(0).ListenUri.AbsoluteUri
    Console.WriteLine("Listening @ {0}", address)
    Console.WriteLine("Press enter to close the service")
    Console.ReadLine()
    sh.Close()
Catch ce As CommunicationException
    Console.WriteLine("A communication error occurred: {0}", ce.Message)
    Console.WriteLine()
Catch exc As System.Exception
    Console.WriteLine("An unforeseen error occurred: {0}", exc.Message)
    Console.ReadLine()
End Try

Consulte também