WCF用证书做认证怎么保证证书的安全?
最近小弟在研究WCF的认证,WCF提供了window和证书认证两种方式。 关于客户端的证书认证我的理解是这样,不知道对不对:
Server端安装带有私有秘钥的证书, client端安装只带有公钥的证书。 client端在认证的时候将公钥发送给Server端,Server端验证,如果匹配,则认为client端是合法的。
这里面有个问题,如果client泄露了自己的公钥证书,那么恶意用户不就可以拿着公钥去跟server建立连接了吗?client的公钥证书是装到windows 证书里吧,即便我装到受信任的根证书,那我写个程序不就可以访问的到吗?
怎么感觉证书认证这么不安全呢?是我理解错了吗?还请赐教。