Estou implementando uma solução que requer certificados de cliente. Estou usando o IIS 7.5 e ASP.Net 4 serviços WCF.
Eu defini as configurações de SSL para exigir SSL e exigir certificados de cliente. Parece bom até agora. Como sou novo no uso de certificados de clientes, estou pesquisando um pouco e descobri um artigo de suporte da Microsoft que tenta explicar um pouco sobre o processo de validação do certificado do cliente. Afirma:
When the server prompts for a certificate, the request includes a list of the certification authorities that the server trusts. The client then compares this list to the list of certification authorities that the client trusts and creates a list of the ones that match. Then, the client compares that list to the client certificates it has and determines which, if any, certificates have been issued by certification authorities that both the client and the server trust.
Aparentemente, o cliente enviará certificados nos quais ambos os lados confiam. O que me interessa é configurar o IIS ou o serviço WCF para aceitar apenas certos certificados de cliente, como aqueles que geramos de nossa própria autoridade de certificação especificamente para o propósito deste serviço WCF.
O que impede que alguém use um certificado de cliente da VeriSign ou use a partir de nossa autoridade de certificação para outro objetivo?
Tags iis iis-7.5 wcf client-certificate