다음을 통해 공유

사용자 지정 보안 메타데이터 엔드포인트

CustomMexEndpoint 샘플에서는 메타데이터가 아닌 교환 바인딩 중 하나를 사용하는 보안 메타데이터 엔드포인트를 사용하여 서비스를 구현하는 방법과 ServiceModel 메타데이터 유틸리티 도구(Svcutil.exe) 또는 클라이언트를 구성하여 이러한 메타데이터 엔드포인트에서 메타데이터를 가져오는 방법을 보여 줍니다. 메타데이터 엔드포인트를 노출하는 데 사용할 수 있는 시스템 제공 바인딩에는 mexHttpBinding 및 mexHttpsBinding이라는 두 가지가 있습니다. mexHttpBinding은 안전하지 않은 방식으로 HTTP를 통해 메타데이터 엔드포인트를 노출하는 데 사용됩니다. mexHttpsBinding은 안전한 방식으로 HTTPS를 통해 메타데이터 엔드포인트를 노출하는 데 사용됩니다. 이 샘플에서는 .를 사용하여 보안 메타데이터 엔드포인트를 노출하는 방법을 보여 줍니다 WSHttpBinding. 바인딩의 보안 설정을 변경하려고 하지만 HTTPS를 사용하지 않으려는 경우 이 작업을 수행하려고 합니다. mexHttpsBinding을 사용하는 경우 메타데이터 엔드포인트는 안전하지만 바인딩 설정을 수정할 수 있는 방법은 없습니다.

비고

이 샘플에 대한 설치 절차 및 빌드 지침은 이 항목의 끝에 있습니다.

서비스

이 샘플의 서비스에는 두 개의 엔드포인트가 있습니다. 애플리케이션 엔드포인트는 인증서를 ICalculator 사용하여 사용 및 WSHttpBinding 보안에 대한 ReliableSessionMessage 계약을 제공합니다. 메타데이터 엔드포인트는 동일한 보안 설정으로 WSHttpBinding를 사용하지만 ReliableSession이 없습니다. 관련 구성은 다음과 같습니다.

<services>
    <service name="Microsoft.ServiceModel.Samples.CalculatorService"
             behaviorConfiguration="CalculatorServiceBehavior">
     <!-- use base address provided by host -->
     <endpoint address=""
       binding="wsHttpBinding"
       bindingConfiguration="Binding2"
       contract="Microsoft.ServiceModel.Samples.ICalculator" />
     <endpoint address="mex"
       binding="wsHttpBinding"
       bindingConfiguration="Binding1"
       contract="IMetadataExchange" />
     </service>
 </services>
 <bindings>
   <wsHttpBinding>
     <binding name="Binding1">
       <security mode="Message">
         <message clientCredentialType="Certificate" />
       </security>
     </binding>
     <binding name="Binding2">
       <reliableSession inactivityTimeout="00:01:00" enabled="true" />
       <security mode="Message">
         <message clientCredentialType="Certificate" />
       </security>
     </binding>
   </wsHttpBinding>
 </bindings>

다른 많은 샘플에서 메타데이터 엔드포인트는 안전하지 않은 기본값 mexHttpBinding을 사용합니다. 여기서 메타데이터는 보안을 사용하여 WSHttpBindingMessage 보호됩니다. 메타데이터 클라이언트가 이 메타데이터를 검색하려면 일치하는 바인딩으로 구성해야 합니다. 이 샘플에서는 이러한 두 클라이언트를 보여 줍니다.

첫 번째 클라이언트는 Svcutil.exe 사용하여 메타데이터를 가져오고 디자인 타임에 클라이언트 코드 및 구성을 생성합니다. 서비스는 메타데이터에 기본이 아닌 바인딩을 사용하므로 해당 바인딩을 사용하여 서비스에서 메타데이터를 가져올 수 있도록 Svcutil.exe 도구를 구체적으로 구성해야 합니다.

두 번째 클라이언트는 이를 사용하여 MetadataResolver 알려진 계약의 메타데이터를 동적으로 가져온 다음 동적으로 생성된 클라이언트에서 작업을 호출합니다.

Svcutil 클라이언트

기본 바인딩을 사용하여 IMetadataExchange 엔드포인트를 호스트할 때, 해당 엔드포인트의 주소를 사용하여 Svcutil.exe를 실행할 수 있습니다.

svcutil http://localhost/servicemodelsamples/service.svc/mex

그리고 작동합니다. 그러나 이 샘플에서 서버는 기본이 아닌 엔드포인트를 사용하여 메타데이터를 호스트합니다. 따라서 Svcutil.exe 올바른 바인딩을 사용하도록 지시해야 합니다. 이 작업은 Svcutil.exe.config 파일을 사용하여 수행할 수 있습니다.

Svcutil.exe.config 파일은 일반 클라이언트 구성 파일처럼 보입니다. 유일한 특이한 측면은 클라이언트 엔드포인트 이름 및 계약입니다.

<endpoint name="http"
          binding="wsHttpBinding"
          bindingConfiguration="Binding1"
          behaviorConfiguration="ClientCertificateBehavior"
          contract="IMetadataExchange" />

엔드포인트 이름은 메타데이터가 호스트되고 엔드포인트 계약이 있어야 하는 주소 구성표의 이름이어야 IMetadataExchange합니다. 다음과 같은 명령줄을 사용해 실행할 경우 Svcutil.exe는 다음과 같습니다.

svcutil http://localhost/servicemodelsamples/service.svc/mex

"http"라는 엔드포인트를 찾고 메타데이터 엔드포인트와의 통신 교환의 바인딩 및 동작을 구성하는 계약을 IMetadataExchange 찾습니다. 샘플의 나머지 Svcutil.exe.config 파일은 메타데이터 엔드포인트의 서버 구성과 일치하도록 바인딩 구성 및 동작 자격 증명을 지정합니다.

Svcutil.exe Svcutil.exe.config구성을 선택하려면 Svcutil.exe 구성 파일과 동일한 디렉터리에 있어야 합니다. 따라서 설치 위치에서 Svcutil.exe.config 파일이 포함된 디렉터리로 Svcutil.exe 복사해야 합니다. 그런 다음 해당 디렉터리에서 다음 명령을 실행합니다.

.\svcutil.exe http://localhost/servicemodelsamples/service.svc/mex

시작 부분의 ".\"는 이 디렉터리에 있는 Svcutil.exe.config과 대응되는 Svcutil.exe의 복사본이 실행되도록 합니다.

MetadataResolver 클라이언트

클라이언트가 계약 및 디자인 타임에 메타데이터와 통신하는 방법을 알고 있는 경우 클라이언트는 다음을 사용하여 MetadataResolver애플리케이션 엔드포인트의 바인딩 및 주소를 동적으로 찾을 수 있습니다. 이 샘플 클라이언트를 통해 이를 확인할 수 있습니다. 이 클라이언트는 MetadataResolver를 생성 및 구성하여 MetadataExchangeClient에서 사용하는 바인딩 및 자격 증명을 설정하는 방법을 보여줍니다.

Svcutil.exe.config 표시된 것과 동일한 바인딩 및 인증서 정보를 다음에서 MetadataExchangeClient명령적으로 지정할 수 있습니다.

// Specify the Metadata Exchange binding and its security mode
WSHttpBinding mexBinding = new WSHttpBinding(SecurityMode.Message);
mexBinding.Security.Message.ClientCredentialType = MessageCredentialType.Certificate;

// Create a MetadataExchangeClient for retrieving metadata, and set the // certificate details
MetadataExchangeClient mexClient = new MetadataExchangeClient(mexBinding);
mexClient.SoapCredentials.ClientCertificate.SetCertificate(    StoreLocation.CurrentUser, StoreName.My,
    X509FindType.FindBySubjectName, "client.com");
mexClient.SoapCredentials.ServiceCertificate.Authentication.CertificateValidationMode = X509CertificateValidationMode.PeerOrChainTrust;
mexClient.SoapCredentials.ServiceCertificate.SetDefaultCertificate(    StoreLocation.CurrentUser, StoreName.TrustedPeople,
    X509FindType.FindBySubjectName, "localhost");

mexClient이(가) 구성되면, 우리가 관심 있는 계약을 열거하고, 그 계약들로부터 엔드포인트 목록을 가져오기 위해 MetadataResolver을(를) 사용할 수 있습니다.

// The contract we want to fetch metadata for
Collection<ContractDescription> contracts = new Collection<ContractDescription>();
ContractDescription contract = ContractDescription.GetContract(typeof(ICalculator));
contracts.Add(contract);
// Find endpoints for that contract
EndpointAddress mexAddress = new EndpointAddress(ConfigurationManager.AppSettings["mexAddress"]);
ServiceEndpointCollection endpoints = MetadataResolver.Resolve(contracts, mexAddress, mexClient);

마지막으로 해당 엔드포인트의 정보를 사용하여 애플리케이션 엔드포인트와 통신할 채널을 만드는 데 사용되는 바인딩 및 주소를 ChannelFactory 초기화할 수 있습니다.

ChannelFactory<ICalculator> cf = new ChannelFactory<ICalculator>(endpoint.Binding, endpoint.Address);

이 샘플 클라이언트의 핵심은 사용 MetadataResolver중인 경우 메타데이터 교환 통신에 대한 사용자 지정 바인딩 또는 동작을 지정해야 하는 경우 해당 사용자 지정 설정을 지정하는 데 사용할 MetadataExchangeClient 수 있음을 보여 주는 것입니다.

샘플을 설정하고 빌드하려면

  1. Windows Communication Foundation 샘플 에 대한One-Time 설정 절차를 수행했는지 확인합니다.

  2. 솔루션을 빌드하려면 Windows Communication Foundation 샘플 빌드의 지침을 따릅니다.

동일한 컴퓨터에서 샘플을 실행하려면

  1. 샘플 설치 폴더에서 Setup.bat 실행합니다. 그러면 샘플을 실행하는 데 필요한 모든 인증서가 설치됩니다. 참고로 Setup.bat는 Windows Communication Foundation 샘플에 대한One-Time 설치 절차에서 setupCertTool.bat를 실행하여 설치되는 FindPrivateKey.exe 도구를 사용합니다.

  2. \MetadataResolverClient\bin 또는 \SvcutilClient\bin에서 클라이언트 애플리케이션을 실행합니다. 클라이언트 활동은 클라이언트 콘솔 애플리케이션에 표시됩니다.

  3. 클라이언트와 서비스가 통신할 수 없는 경우 WCF 샘플대한 문제 해결 팁을 참조하세요.

  4. 샘플을 마쳤으면 Cleanup.bat 실행하여 인증서를 제거합니다. 다른 보안 샘플은 동일한 인증서를 사용합니다.

컴퓨터에서 샘플을 실행하려면

  1. 서버에서 setup.bat service실행합니다. 인수를 setup.bat 사용하여 실행 service 하면 컴퓨터의 정규화된 도메인 이름을 가진 서비스 인증서가 만들어지고 서비스 인증서를 Service.cer 파일로 내보냅니다.

  2. 서버에서 Web.config 편집하여 새 인증서 이름을 반영합니다. 즉, findValue 요소의 < 특성을 컴퓨터의 정규화된 도메인 이름으로 변경하십시오.

  3. 서비스 디렉터리에서 클라이언트 컴퓨터의 클라이언트 디렉터리로 Service.cer 파일을 복사합니다.

  4. 클라이언트에서 setup.bat client실행합니다. 인수를 사용하여 실행 setup.bat 하면 client Client.com 클라이언트 인증서가 만들어지고 클라이언트 인증서를 Client.cer 파일로 내보냅니다.

  5. 클라이언트 컴퓨터의 MetadataResolverClient App.config 파일에서 mex 엔드포인트의 주소 값을 서비스의 새 주소와 일치하도록 변경합니다. 이렇게 하려면 localhost를 서버의 정규화된 도메인 이름으로 바꿔서 수행합니다. 또한 metadataResolverClient.cs 파일의 "localhost"를 새 서비스 인증서 이름(서버의 정규화된 도메인 이름)으로 변경합니다. SvcutilClient 프로젝트의 App.config 대해 동일한 작업을 수행합니다.

  6. 클라이언트 디렉터리에서 서버의 서비스 디렉터리로 Client.cer 파일을 복사합니다.

  7. 클라이언트에서 ImportServiceCert.bat실행합니다. 그러면 서비스 인증서가 Service.cer 파일에서 CurrentUser - TrustedPeople 저장소로 가져옵니다.

  8. 서버에서 ImportClientCert.bat실행합니다. 그러면 Client.cer 파일의 클라이언트 인증서를 LocalMachine - TrustedPeople 저장소로 가져옵니다.

  9. 서비스 머신에서 Visual Studio에서 서비스 프로젝트를 빌드하고 웹 브라우저에서 도움말 페이지를 선택하여 실행 중인지 확인합니다.

  10. 클라이언트 컴퓨터에서 VS에서 MetadataResolverClient 또는 SvcutilClient를 실행합니다.

    1. 클라이언트와 서비스가 통신할 수 없는 경우 WCF 샘플대한 문제 해결 팁을 참조하세요.

샘플 후에 정리하기

  • 샘플 실행이 완료되면 샘플 폴더에서 Cleanup.bat 실행합니다.

    비고

    이 스크립트는 컴퓨터에서 이 샘플을 실행할 때 클라이언트에서 서비스 인증서를 제거하지 않습니다. 컴퓨터에서 인증서를 사용하는 WCF(Windows Communication Foundation) 샘플을 실행한 경우 CurrentUser - TrustedPeople 저장소에 설치된 서비스 인증서를 지워야 합니다. 이렇게 하려면 다음 명령을 certmgr -del -r CurrentUser -s TrustedPeople -c -n <Fully Qualified Server Machine Name>사용합니다. 예: certmgr -del -r CurrentUser -s TrustedPeople -c -n server1.contoso.com.