如何避免在客户端设置 DnsEndpointIdentity

Question

所以基本上我有一个应用程序，我有一个客户端和两个通过 netTcpBinding 或 netNamedPipe 公开端点的服务。 此外，服务和客户端之间的整个通信都通过证书进行保护（现在我使用的是自信任证书）。

它工作正常，但在创建EndpointAddress实例期间，我还需要使用服务端使用的证书名称设置DnsEndpointIdentity 。 所以它看起来像这样：

new EndpointAddress(serviceUrl, new DnsEndpointIdentity("MyCertificateName"));

所以我的问题是：这正常吗？ 有没有办法避免在客户端设置它？

Answer 1

这是正常现象，身份不能无知，它代表了服务器的身份。 第三方可以冒充服务程序让客户端调用，以达到窃取客户端信息的目的。 为确保客户端不会找到错误的服务器，证书（主题）中的主机名必须与客户端提供的主机名（DNS 身份）相同。 我们也可以使用证书的公钥作为身份，因为证书的公钥对外部是公开的。

<identity>
                  <rsa value="...."/>
                </identity>

这是获取证书公钥的示例代码。

X509Store store = new X509Store(StoreName.My, StoreLocation.CurrentUser);
            store.Open(OpenFlags.ReadOnly);
            X509Certificate2 cert = null;
            foreach (var certificate in store.Certificates)
            {
                if (certificate.Subject.Contains("myhostname"))
                {
                    cert = certificate;
                    break;
                }
            }
            if (cert==null)
            {
                return;
            }
            //output the public key
            string xmlKey = cert.PublicKey.Key.ToXmlString(false);
            //encoded
            string encodedkey = System.Net.WebUtility.HtmlEncode(xmlKey);
            Console.WriteLine($"Public key:\n{encodedkey}");
            store.Close();
            store.Dispose();

顺便说一句，这些配置可以在使用“添加服务引用”对话框调用服务时自动生成。
如果有什么我可以帮忙的，请随时告诉我。