[WCF] Problème avec client certificate et binding security mode="Transport"

Version imprimable

01/10/2010, 10h11
kenpanda

[WCF] Problème avec client certificate et binding security mode="Transport"
Bonjour !

J'essaye depuis quelques jours de configurer un service pour avoir une authentification mutuelle du client et du serveur par des certifs X509.

Je suis arrivé à configurer le certificat pour l'authentification du serveur et l'encryption du message sans trop de difficultés. :ccool:

Pour l'autentification du client ça semble un poil plus compliqué. :calim2:
Pas de soucis si je peux me contenter d'une authentification par le message lui-même
Code:

1 2 3 <security mode="TransportWithMessageCredential"> <message clientCredentialType="Certificate" /> </security>
Mais comme je suis exigeant, je veux une authentification du client au niveau du transport :
Code:

1 2 3 <security mode="Transport"> <transport clientCredentialType="Certificate" /> </security>
Le service est hosté par mon serveur local IIS7.5.
J'ai déjà résolu les problème 'usuels' en activant le system.webServer/security/authentication/clientCertificateMappingAuthentication, le mapping entre le certificat et un utilisateur, le flag SslReqCert.

Malheureusement, le serveur web semble ne pas recevoir le certificat du client (réponse 403.7).

Quelqu'un pourrait-il m'aider à tracer ce problème ?

Salut Kenpanda,

Bon j'avais aussi eu ce genre de problème il y a longtemps déjà, alors ci-dessous ce je te transmets quelques lignes de code qui pourront peut être t'aidre. A signaler que dans mon cas, j'avais auparant créé une classe Interface pour atteindre le service Web Client:
Code:

1 2 3 4 5 6 7 8 9 10 11 12 ... ServiceClient.ClientCertificates.Add(X509Certificate.CreateFromCertFile(certFile)); ... credentials.UserName = username; credentials.Password = password; ServiceClient.PreAuthenticate = true; cache.Add(new Uri(url), authType, credentials); ServiceClient.Credentials = cache; ServiceClient.EnableDecompression = true; ....
Dans mon cas, si je ne mettais "ServiceClient.EnableDecompression = true", j'avais une erreur, mais je ne me souviens plus si c'est du même type que la tienne.

Bon développement!

Cédric

Un grand merci pour cette réponse, mais actuellement, je penche plus pour un problème de config d'IIS 7 , et ce pour 2 raisons principales :
- quand je tente d'accéder à une page dummy via un browser (chrome, ff, ie), il ne demande pas de sélectionner le certif. (et pourtant il y en a plusieurs possibles)

- une web request est refusée avec la même erreur 4.7:
Code:

1 2 3 4 5 6 7 8 9 10 X509Certificate cert = X509Certificate.CreateFromCertFile("C:\\TEMP\\WCFUser.cer"); HttpWebRequest Request = (HttpWebRequest)WebRequest.Create("https://xxxx-yyyy.zzz.dd/GatewaySvc/index.htm"); Request.ClientCertificates.Add(cert); Request.UserAgent = "Client Cert Sample"; Request.Method = "GET"; HttpWebResponse Response = (HttpWebResponse)Request.GetResponse(); Console.WriteLine("{0}", Response.Headers);

06/10/2010, 09h27
Cédric B.

Salut Kanpenda,

au niveau de IIS, je connais moins et de ce fait je peux moins t'aider! Mais si tu peux essayer sur un autre serveur avec une version d'IIS différent, cela pourra peut être t'aider aussi!

Bon développement

Cédric
06/10/2010, 21h36
kenpanda

Thx,

C'est la prochaine étape que j'avais envisagée dès que mon TL aura remis ce projet dans la liste des priorités (quelle magnifique époque ...:traine:)
08/10/2010, 08h45
kenpanda

Donne un meuble ikea à un homme, il s'amusera une journée.
Donne un meuble ikea à un homme sans le plan, il s'amusera toute la semaine.:mouarf: :mouarf:

En fait j'avais créé un self-signed certificate pour le serveur, et réutilisé ce certif pour générer le client certificate, plutôt que de créer un certif pour une Trusted Authority commune. :toutcasse: :oops: