WCF自签名证书在客户端上不受信任

Question

我有一个WCF服务,只在两台服务器机器之间使用.它绝不会公开使用.

我希望我能将SSL与自签名证书一起用于安全性.

我使用IIS7创建了一个证书,使用IE和MMC(Personal,TrustedRoot,Third-Party和TrustedPeople)将其安装在客户端计算机上.

我仍然无法通过代码或通过IE8获得服务,而不会质疑证书.

从IE我得到通常的"这个网站的安全证书有问题."

从代码我得到错误:"无法建立具有权限的SSL/TLS安全通道的信任关系"

为什么这不起作用？

Answer 1

您确定您的自签名证书位于将访问您的WCF服务的客户端计算机上的受信任的根证书颁发机构证书存储中吗？请参阅下面的屏幕截图,其中包含我的一台Windows Vista计算机信任的自签名证书.

您是否还确定您的证书是自签名证书.查看我的一个自签名证书末尾的屏幕截图.

在此输入图像描述

更新的信息:

有关如何使用名为SelfSSL7的实用程序创建包含多个主机名的自签名证书的信息,请查看此帖子.

这是另一个链接,其中包含有关SelfSSL7.exe和下载信息的详细信息.

继来自@HeatfanJohn的评论之后,证书中的主机名必须与您在客户端上的服务端点中的主机名完全匹配 - 也就是说,它必须是AD域中的完全限定域名.当我在客户端上使用服务器计算机名称时,我遇到了问题,而证书是使用全名发出的. (4认同)
这意味着问题是证书中的主机名(CN = xxx)与用于连接服务器的主机名不匹配.如果在连接到服务时要使用服务器完全限定名称,则在构建自签名证书时需要使用该名称.还有一个名为Subject Alternative Names(SAN)的证书工具,您可以在其中指定访问证书时可以使用的其他主机名.我需要GOOGLE自签名SAN证书和Windows,以了解您如何在Windows上执行此操作. (3认同)