110,538
社区成员
发帖
与我相关
我的任务
分享WCF用证书做认证怎么保证证书的安全?
最近小弟在研究WCF的认证,WCF提供了window和证书认证两种方式。 关于客户端的证书认证我的理解是这样,不知道对不对:
Server端安装带有私有秘钥的证书, client端安装只带有公钥的证书。 client端在认证的时候将公钥发送给Server端,Server端验证,如果匹配,则认为client端是合法的。
这里面有个问题,如果client泄露了自己的公钥证书,那么恶意用户不就可以拿着公钥去跟server建立连接了吗?client的公钥证书是装到windows 证书里吧,即便我装到受信任的根证书,那我写个程序不就可以访问的到吗?
怎么感觉证书认证这么不安全呢?是我理解错了吗?还请赐教。
Server端安装带有私有秘钥的证书, client端安装只带有公钥的证书。 client端在认证的时候将公钥发送给Server端,Server端验证,如果匹配,则认为client端是合法的。
这里面有个问题,如果client泄露了自己的公钥证书,那么恶意用户不就可以拿着公钥去跟server建立连接了吗?client的公钥证书是装到windows 证书里吧,即便我装到受信任的根证书,那我写个程序不就可以访问的到吗?
怎么感觉证书认证这么不安全呢?是我理解错了吗?还请赐教。
...全文
请发表友善的回复…
发表回复
github_36000833 2020-03-27
- 打赏
- 举报
你描述的认证方法,是用来认证服务端的,不是用来认证客户的。
安全体系上,服务端认证是很重要的。
如果不能验证服务端,客户就可能连接到一个假扮服务端,客户传送的机密就可能被侵害
公钥证书应该是公开的,不能凭借客户拥有一个公钥的事实,来验证客户。
客户可以通过以下一种方式来验证自己:
1、用户名密码(验证服务端后,通过安全连接传输)。
2、客户证书(每个客户一个证书,每个客户拥有自己的私钥)。
3、多重认证...
