我有一个客户端/服务器WCF应用程序需要某种用户身份验证对数据库。该应用程序(包括客户端和服务器端)正在开发中,以销售给数十个客户,供他们的内联网使用。我们并不担心加密大部分通过网络传输的数据,当然除了身份验证期间。WCF,安全和证书
考虑到WCF的安全性,我一直回想起我们应该使用x509证书的想法。但是,我们的客户绝对不会想知道任何必须申请,购买和安装这些证书的细节。
我想首先知道在这种情况下实施用户名/密码认证的首选方法是什么。如果它需要使用证书,那么客户是否必须向可信任的CA申请自己的证书,或者我们可以为软件提供商生成证书供客户使用?
真的,我正在寻找一种最佳实践,对我们的客户的摩擦最小。
谢谢!
编辑:我正在使用NetTcpBinding,并且我的服务器作为Windows服务运行。
谢谢!我忘记提到的是我正在使用NetTcpBinding。另外,请记住,服务器也正在部署给多个客户,这是我关于证书问题的主要来源。 – chris 2009-04-23 22:42:06
确定更新了答案 – blowdart 2009-04-23 22:55:56