Delen via

Voorbeelden van beveiligingskanaallagen

  • Artikel

In de volgende voorbeelden ziet u de beveiliging in de Kanaallaag

Windows-transportbeveiliging via TCP: Client: RequestReplyTcpClientWithWindowsTransportSecurityExample, Server: RequestReplyTcpServerWithWindowsTransportSecurityExample.

Windows-transportbeveiliging via named pipes: Client: RequestReplyNamedPipesClientWithWindowsTransportSecurityExample, Server: RequestReplyNamedPipesServerWithWindowsTransportSecurityExample.

SSL-transportbeveiliging: Client: HttpClientWithSslExample, Server: HttpServerWithSslExample.

Gebruikersnaam via ssl mixed-mode-beveiliging: Client: HttpClientWithUsernameOverSslExample, Server: HttpServerWithUsernameOverSslExample.

Gebruikersnaam via SSL mixed-mode-beveiliging: Client: HttpClientWithKerberosOverSslExample, Server: HttpServerWithKerberosOverSslExample.

Gebruikersnaam via beveiliging in gemengde ssl-modus: MetadataImportWithUsernameOverSslExample. Uitgegeven token via SSL mixed-mode-beveiliging: MetadataImportWithIssuedTokenOverSslExample. X509-certificaat via SSL mixed-mode-beveiliging: MetadataImportWithX509OverSslExample.

One-Time instellen voor beveiligingsvoorbeelden

Als u WWSAPI-beveiligingsvoorbeelden wilt uitvoeren, moet u de client- en servercertificaten voor SSL instellen, evenals een lokaal gebruikersaccount voor HTTP-headerverificatie. Voordat u begint, hebt u de volgende hulpprogramma's nodig:

  • MakeCert.exe (beschikbaar in de Windows 7 SDK.)
  • CertUtil.exe of CertMgr.exe (CertUtil.exe is beschikbaar in de Windows SDK's vanaf Windows Server 2003. CertMgr.exe is beschikbaar in de Windows 7 SDK. U hebt slechts één van deze hulpprogramma's nodig.)
  • HttpCfg.exe: (U hebt dit alleen nodig als u Windows 2003 of Windows XP gebruikt. Dit hulpprogramma is beschikbaar in Windows XP SP2 Support Tools en wordt ook geleverd met de Windows Server 2003 Resource Kit Tools CD.)

Als u de WWSAPI-voorbeelden krijgt door de Windows 7 SDK te installeren, vindt u de MakeCert.exe en CertMgr.exe onder %ProgramFiles%\Microsoft SDK's\Windows\v7.0\bin.

Voer de volgende vijf stappen uit vanaf de opdrachtprompt (verhoogde bevoegdheid als u Windows Vista en hoger gebruikt):

  1. Genereer een zelfondertekend certificaat als certificeringsinstantie (CA) of verlener: MakeCert.exe -ss Root -sr LocalMachine -n "CN=Fake-Test-CA" -cy instantie -r -sk "CAKeyContainer"
  2. Genereer een servercertificaat met behulp van het vorige certificaat als verlener: MakeCert.exe -ss My -sr LocalMachine -n "CN=localhost" -sky exchange -is Root -ir LocalMachine -in Fake-Test-CA -sk "ServerKeyContainer"
  3. Zoek de vingerafdruk (een SHA-1-hash van 40 tekens) van het servercertificaat door een van de volgende opdrachten uit te voeren en te zoeken naar het certificaat met de naam localhost met verlener Fake-Test-CA:
    • CertUtil.exe -store My localhost-
    • CertMgr.exe -s -r LocalMachine My
  4. Registreer de vingerafdruk van het servercertificaat zonder spaties met HTTP.SYS:
    • Op Windows Vista en hoger (de optie appid is een willekeurige GUID): Netsh.exe http sslcert ipport=0.0.0.0:8443 appid={00001 toevoegen111-aaaa-2222-bbbb-3333cccc4444} certhash=<40CharacterThumbprint>
    • In Windows XP of 2003: HttpCfg.exe ssl instellen -i 0.0.0.0:8443 -h <40CharacterThumbprint>
  5. Een lokale gebruiker maken: Net-gebruiker 'TestUserForBasicAuth' 'TstPWD@*4Bsic' / toevoegen

Voer de volgende opdrachten uit om de certificaten, SSL-certificaatbinding en het gebruikersaccount dat u in de vorige stappen hebt gemaakt, op te schonen. Als er meerdere certificaten met dezelfde naam zijn, hebt CertMgr.exe uw invoer nodig voordat u ze verwijdert.

  • CertMgr.exe -del -c -n Fake-Test-CA -s -r LocalMachine Root
  • CertMgr.exe -del -c -n localhost -s -r LocalMachine My
  • Netsh.exe sslcert ipport=0.0.0.0:8443 (of HttpCfg.exe ssl verwijderen -i 0.0.0.0:8443)
  • Net-gebruiker TestUserForBasicAuth/delete

Zorg ervoor dat er slechts één basiscertificaat is met de naam Fake-Test-CA. Als u niet zeker weet, is het altijd veilig om deze certificaten op te schonen met behulp van de bovenstaande opschoonopdrachten (en fouten negeren) voordat u de installatie met vijf stappen start.