我有一个WCF服务,它以下列方式使用证书:
Credentials.ServiceCertificate.SetCertificate(System.Security.Cryptography.X509Certificates.StoreLocation.LocalMachine, _
System.Security.Cryptography.X509Certificates.StoreName.TrustedPeople, _
System.Security.Cryptography.X509Certificates.X509FindType.FindByThumbprint, _
serviceCertificateThumbprint)
客户端还安装了证书,并使用指纹进行查找。为了能够部署和更新证书,客户端和服务器上的指纹存储在数据库中,并且即时查找证书。我正在使用内部颁发的证书。但是,我目前拥有的证书将在几个月内到期,我想知道管理证书到期的推荐最佳做法是什么?该服务由我管理的4个客户端调用,但也由我无法控制的大量其他客户端调用,因此使用组策略分发证书不一定合适。
1)是否可以使用多个端点配置服务,并使用不同的证书进行保护以允许重叠时间段,以便所有客户端都有时间使用新颁发的证书进行重新配置?
2)鉴于这些应用程序主要是内部的,使用是否合适:
X509CertificateValidationMode.None
X509RevocationMode.NoCheck
3)是否有必要使用证书,因为服务也使用WIF / STS保护?如果没有,这是怎么做到的? (我相信如果不使用证书,则必须使用https)