如何在WCF中吊销客户端证书？

Question

我在这种情况下正在开发一个自托管WCF服务：

wsHttpbinding
*Transport security layer
Client Credential = Certificate

我创建了一个自签名的RootCA证书以及由RootCA证书颁发的“ www.server.com”和“ www.client.com”证书。

这是客户端环境配置：我需要在“受信任的根证书颁发机构”商店中安装RootCA公钥，并在“我的商店”中安装www.client.com证书。

这样，一切正常。

但是我的问题是，在MSDN示例中描述的这种情况下，www.client.com公钥也不应该也位于服务器计算机的TrustedPeople存储中吗？ 因为如果要排除客户端，则应在服务器端拥有控件。 在WCF上有一些配置可以让我做到这一点？

ps：在上面的MSDN链接中的第一段中，用引号引起来The server's certificate must be trusted by the client and the client's certificate must be trusted by the server. 但这是行不通的。

Answer 1

我认为，为了完全控制证书的客户端身份验证，您可能需要完全了解证书吊销过程。 下面的文章很好地概述了证书吊销，包括验证链和CRL缓存。

http://technet.microsoft.com/en-us/library/ee619754(v=ws.10).aspx

关于WCF配置，您可以访问以下控制客户端证书验证的配置值：

X509ClientCertificateAuthentication.RevocationMode
X509ServiceCertificateAuthentication.CertificateValidationMode

http://msdn.microsoft.com/en-us/library/system.servicemodel.security.x509clientcertificateauthentication.revocationmode(v=vs.110).aspx
http://msdn.microsoft.com/en-us/library/system.servicemodel.security.x509servicecertificateauthentication.certificatevalidationmode(v=vs.110).aspx

问候。