Dela via

Exempel på säkerhetskanallager

  • Artikel

I följande exempel visas säkerhet i Kanallager

Windows transportsäkerhet via TCP: Klient: RequestReplyTcpClientWithWindowsTransportSecurityExample, Server: RequestReplyTcpServerWithWindowsTransportSecurityExample.

Windows transportsäkerhet över namngivna rör: Klient: RequestReplyNamedPipesClientWithWindowsTransportSecurityExample, Server: RequestReplyNamedPipesServerWithWindowsTransportSecurityExample.

SSL-transportsäkerhet: Klient: HttpClientWithSslExample, Server: HttpServerWithSslExample.

Användarnamnsskydd över SSL i kombinerat säkerhetsläge: Klient: HttpClientWithUsernameOverSslExample, Server: HttpServerWithUsernameOverSslExample.

Användarnamn med SSL-mixad säkerhet: Klient: HttpClientWithKerberosOverSslExample, Server: HttpServerWithKerberosOverSslExample.

Användarnamn med blandläges-säkerhet över SSL: MetadataImportWithUsernameOverSslExample. Utfärdad token över SSL-säkerhet i blandat läge: MetadataImportWithIssuedTokenOverSslExample. X509-certifikat i blandat SSL-säkerhetsläge: MetadataImportWithX509OverSslExample.

One-Time Uppsättning för säkerhetsexempel

Om du vill köra WWSAPI-säkerhetsexempel måste du konfigurera klient- och servercertifikaten för SSL samt ett lokalt användarkonto för HTTP-huvudautentisering. Innan du börjar behöver du följande verktyg:

  • MakeCert.exe (finns i Windows 7 SDK.)
  • CertUtil.exe eller CertMgr.exe (CertUtil.exe finns i Windows SDK:er från och med Windows Server 2003. CertMgr.exe finns i Windows 7 SDK. Du behöver bara något av dessa verktyg.)
  • HttpCfg.exe: (Du behöver bara detta om du använder Windows 2003 eller Windows XP. Det här verktyget finns i Windows XP SP2 Support Tools och levereras även med Windows Server 2003 Resource Kit Tools CD.)

Om du får WWSAPI-exemplen genom att installera Windows 7 SDK hittar du MakeCert.exe och CertMgr.exe under %ProgramFiles%\Microsoft SDKs\Windows\v7.0\bin.

Utför följande femstegskonfiguration från kommandotolken (upphöjd om du använder Windows Vista och senare):

  1. Generera ett självsignerat certifikat som ska vara certifikatutfärdare (CA): MakeCert.exe -ss Root -sr LocalMachine -n "CN=Fake-Test-CA" -cy authority -r -sk "CAKeyContainer"
  2. Generera ett servercertifikat med det tidigare certifikatet som utfärdare: MakeCert.exe -ss My -sr LocalMachine -n "CN=localhost" -sky exchange -is Root -ir LocalMachine -in Fake-Test-CA -sk "ServerKeyContainer"
  3. Hitta tumavtrycket (en SHA-1-hash med 40 tecken) för servercertifikatet genom att köra något av följande kommandon och söka efter certifikatet med namnet localhost med utfärdaren Fake-Test-CA:
    • CertUtil.exe -store My localhost
    • CertMgr.exe -s -r LocalMachine My
  4. Registrera servercertifikatets tumavtryck utan blanksteg med HTTP.SYS:
    • I Windows Vista och senare (alternativet "appid" är ett godtyckligt GUID): Netsh.exe http add sslcert ipport=0.0.0.0:8443 appid={00001111-aaaa-2222-bbbb-3333cccc4444} certhash=<40CharacterThumbprint>
    • I Windows XP eller 2003: HttpCfg.exe ange ssl -i 0.0.0.0:8443 -h <40CharacterThumbprint>
  5. Skapa en lokal användare: Net-användaren "TestUserForBasicAuth" "TstPWD@*4Bsic" /add

Kör följande kommandon för att rensa certifikaten, SSL-certifikatbindningen och användarkontot som skapades i föregående steg. Observera att om det finns flera certifikat med samma namn behöver CertMgr.exe dina indata innan du tar bort dem.

  • CertMgr.exe -del -c -n Fake-Test-CA -s -r LocalMachine Root
  • CertMgr.exe -del -c -n localhost -s -r LocalMachine My
  • Netsh.exe http delete sslcert ipport=0.0.0.0:8443 (eller HttpCfg.exe ta bort ssl -i 0.0.0.0:8443)
  • Net-användare "TestUserForBasicAuth" /delete

Kontrollera att det bara finns ett rotcertifikat med namnet Fake-Test-CA. Om du är osäker är det alltid säkert att försöka rensa dessa certifikat med hjälp av rensningskommandona ovan (och ignorera fel) innan du startar femstegskonfigurationen.