我有2个应用程序在IIS内运行 - 客户端和服务。服务运行得很好,但客户端不是。在wcf的客户端禁用认证验证
他们通过WCF与消息安全中继证书(它不是传输安全性,它只是消息安全性)通信。两者都使用自签名证书。
但客户最终错误:
System.IdentityModel.Tokens.SecurityTokenValidationException: The X.509 certificate ... is not in the trusted people store. The X.509 certificate ... chain building failed. The certificate that was used has a trust chain that cannot be verified. Replace the certificate or change the certificateValidationMode. A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider
我知道如何在服务端禁用证书验证,我做到了,但我怎么能在客户端禁用CA验证?
这无疑是解决问题的引用最普遍的做法。虽然我对自签名证书被称为无效有轻微的不满。自签名证书仍然具有相同的功能。问题在于自然界的自签名证书不可信,因为它们未能通过签名层次结构检查,但它们当然是有效的 - 根据应用程序的上下文,证书固定可能是一个合适的选择,整个信任链可能会在提供CA签名证书的相同核心功能时被绕过。 – 2015-04-02 02:39:30