我使用Winforms客户端连接到IIS中托管的WCF服务。 Winforms应用程序将供客户下载并安装在他们的计算机上。客户必须使用其用户名/密码登录该应用程序。我想在客户端应用程序和WCF之间进行安全的HTTPS通信。提供此类功能的最佳做法是什么?我应该使用客户端证书还是仅使用服务器证书?任何输入都非常感谢。 感谢。
答案 0 :(得分:1)
您必须拥有服务器证书。
如果您想要更强的身份验证,可以使用客户端证书。虽然有管理证书开销和可能的其他成本:使用来自提供者的证书,自己生成证书,维护撤销列表等等。
答案 1 :(得分:0)
由于您已使用密码对用户进行身份验证,因此不需要客户端证书身份验证。为确保通信安全,请使用自签名服务器证书。如果客户端需要验证他们是否连接到正确的服务器,那么您需要从第三方CA获得签名证书,例如verisign,这可能会花费您至少100美元。