客户端计算机上的SSL服务器端证书？

Question

有一个服务器与WCF客户端，定期启动通过互联网与我们的客户端计算机上安装了许多WCF服务的通信。 WCF服务和WCF客户端托管在Windows服务中，当前绑定是basicHttpBinding。

通信必须通过https进行双向认证。公司订购了SSL证书，但不清楚这个证书是否可以安装在客户端计算机上（因为WCF服务在那里）而不暴露私钥。绑定可以是basicHttpBinding或wcHttpBinding与传输或消息安全性，但使用证书。

是否可以在我们的服务器上的客户端计算机和客户端证书上安装服务端证书？这个架构是否应该重新工作，以便WCF服务在我们的服务器上，或者有可能以某种方式保护当前的解决方案？

Answer 1

每个涉及的计算机需要它的自己的证书。认证的证书值取决于私钥的唯一性。私钥永远不会离开主机，并且证书可以用来认证所述机器（因为是世界上唯一拥有该私钥的机器）。只要您开始分发私钥的副本，安全性就会大打折扣。

通常，这样的部署依赖于PKI基础架构，它可以按需创建证书并使用可信密钥对其进行签名。

证书所使用的产品/协议是无关紧要的。什么样的WCF HTTP绑定你使用它不是。