Mam aplikację WCF typu klient/serwer wymagającą pewnego rodzaju uwierzytelnienia użytkownika względem bazy danych. Aplikacja (zarówno klient, jak i serwer) jest opracowywana w celu sprzedaży dziesiątkom klientów do użytku w intranecie. Nie martwimy się zbytnio o szyfrowanie większości danych przesyłanych przez kabel, z wyjątkiem oczywiście podczas uwierzytelniania.WCF, zabezpieczenia i certyfikaty
Myśląc o bezpieczeństwie WCF, wracam do pomysłu, że powinniśmy korzystać z certyfikatów x509. Jednak nasi klienci na pewno nie będą chcieli wiedzieć o żadnych szczegółach związanych z koniecznością ubiegania się, zakupu i instalacji tych certyfikatów.
Chciałbym wiedzieć przede wszystkim, jaka preferowana metoda polega na wdrożeniu uwierzytelniania nazwy użytkownika/hasła w tym scenariuszu. Jeśli będzie to wymagało użycia certyfikatów, czy klient musi ubiegać się o własne certyfikaty od zaufanego urzędu certyfikacji, czy możemy jako dostawca oprogramowania wygenerować certyfikaty, których klient może użyć?
Naprawdę szukam najlepszej praktyki, przy jak najmniejszym tarciu dla naszych klientów.
Dzięki!
Edytuj: Używam NetTcpBinding, a mój serwer działa jako usługa systemu Windows.
Dzięki! Coś, o czym zapomniałem wspomnieć, to to, że używam NetTcpBinding. Ponadto pamiętaj, że serwer jest wdrażany również dla wielu klientów, co jest głównym źródłem mojego problemu dotyczącego certyfikatów. – chris
OK zaktualizowano odpowiedź – blowdart