WCF支持使用证书对客户端进行身份验证。如果恶意用户窃取了客户端的证书并与服务器建立连接。服务器可以知道吗?如果我们将证书安装到Microsoft证书存储,如何确保它安全?我可以通过代码轻松地读取存储中的证书。
服务器可以知道吗?
编号
如果我们将证书安装到Microsoft证书存储,如何确保它是安全的?
您不能。
证书本身不能解决秘密泄漏问题。它们在传输中提供了更好的安全性,在远程服务器上进行身份验证时提供了更好的UX,但是它们可以像密码一样容易泄漏(好的,不是那么容易,但是可以)。可以使用不同的技术来解决这些问题,例如将证书存储在需要同时具有卡本身和PIN / Password才能访问卡的智能卡上。这些是证书不知道的带外解决方案,因此您无法确定密钥是否安全。