Protezione di servizi Web

Avviare Visual Studio .NET e creare una nuova applicazione di servizio Web ASP.NET in Visual C# denominata SecureMath.

Rinominare service1.asmx come math.asmx.

Aprire math.asmx.cs e rinominare la classe Service1 come math.

Aggiungere alla classe math il metodo Web indicato di seguito.

[WebMethod]
public long Add(long operand1, long operand2)
{
return (operand1 + operand2);
}

Scegliere Genera soluzione dal menu Genera per creare il servizio Web.

Avviare Internet Information Services nel computer host del servizio Web.

Passare alla directory virtuale SecureMath.

Fare clic con il pulsante destro del mouse su SecureMath, quindi scegliere Proprietà.

Scegliere la scheda Protezione directory.

In Comunicazioni protette scegliere Modifica.
Se l'opzione Modifica non è disponibile, è probabile che non sia stato installato un certificato server Web.

Selezionare la casella di controllo Richiedi un canale protetto (SSL).

Selezionare l'opzione Richiedi certificati dei client.

Scegliere OK, quindi di nuovo su OK.

Nella finestra di dialogo Proprietà ereditate ignorate scegliere Seleziona tutto, quindi OK per chiudere la finestra di dialogo delle proprietà SecureMath.
In questo modo, le nuove impostazioni di protezione verranno applicate a tutte le sottodirectory della directory virtuale principale.

Creare un nuovo account utente con una password sicura nel computer client. Deselezionare la casella di controllo Cambiamento obbligatorio password all'accesso successivo, quindi selezionare l'opzione Nessuna scadenza password.

Aggiungere l'account al gruppo Administrators.
L'account utilizzato per caricare un profilo utente deve essere un account di amministratore nel computer locale.

Nel computer in cui è installato Servizi certificati Microsoft scegliere Autorità di certificazione dal gruppo di programmi Strumenti di amministrazione.

Espandere Autorità di certificazione (locale), fare clic con il pulsante destro del mouse sull'autorità di certificazione e scegliere Proprietà.

Scegliere la scheda Modulo criterio, quindi Configura.

Controllare l'opzione predefinita.

Disconnettersi dal computer client ed eseguire nuovamente l'accesso utilizzando l'account personalizzato.
In questo modo, verrà forzata la creazione di un profilo utente per l'account personalizzato.

Selezionare il percorso dell'autorità di certificazione per richiedere un certificato client. Se ad esempio l'autorità di certificazione si trova nel computer CAServer, selezionare il seguente percorso:

http://caserver/certsrv

Scegliere Richiedere un certificato, quindi Avanti.

Verificare che sia selezionata l'opzione Certificato utente, quindi scegliere Avanti.

Scegliere Invia.
Viene generata una richiesta che viene inviata all'autorità di certificazione per l'elaborazione.

Dopo il rilascio del certificato e la ricezione della risposta dal server CA, scegliere Installa questo certificato.

Accertarsi che il certificato della CA emittente sia installato nel computer locale come autorità di certificazione proveniente da una fonte attendibile.
Per eseguire tale verifica, completare i seguenti passaggi:

In caso contrario, completare i seguenti passaggi:

In Internet Explorer digitare l'indirizzo https://server/SecureMath/Math.asmx.
Accertarsi di aver specificato "https", in quanto il sito è configurato per SSL.

Verrà visualizzata la finestra di dialogo Autenticazione client. Selezionare il certificato client, quindi scegliere OK.

Verificare che la pagina di prova del servizio Web venga visualizzata correttamente nel browser.
Se viene visualizzata la finestra di dialogo illustrata nella figura 2, è necessario installare il certificato dell'autorità di certificazione nell'archivio Autorità di certificazione fonti attendibili, come descritto nella procedura precedente.

Figura 2
Finestra di dialogo Avviso di protezione

In Internet Explorer scegliere Opzioni Internet dal menu Strumenti.

Scegliere la scheda Contenuto.

Scegliere Certificati.

Scegliere sul certificato client, quindi su Esporta.

Nella finestra di dialogo iniziale dell'Esportazione guidata certificati scegliere Avanti per proseguire.

Verificare che sia selezionata l'opzione Non esportare la chiave privata, quindi scegliere Avanti.

Accertarsi che sia selezionata l'opzione Binario codificato DER X.509 (.CER), quindi scegliere Avanti.
È necessario utilizzare questo formato in quanto .NET Framework non supporta i formati Base 64 o PKCS #7.

Immettere il nome di un file di esportazione. Annotare il percorso del file di esportazione con estensione CER, poiché sarà necessario per una procedura successiva.

Scegliere Avanti, quindi scegliere Fine per esportare il certificato.

Chiudere Internet Explorer.

Disconnettersi ed eseguire nuovamente l'accesso utilizzando il normale account di sviluppo.

Avviare Visual Studio .NET e creare un nuovo progetto Libreria di classi Visual C# denominato WebServiceRequestor.

Aggiungere un riferimento Web al servizio Web SecureMath.

Importante: prima di aggiungere il riferimento Web, è necessario riconfigurare temporaneamente la directory virtuale del servizio Web in modo che non siano richiesti certificati client, sebbene sia necessario SSL. Dopo l'aggiunta del riferimento Web, modificare nuovamente la directory virtuale per richiedere certificati client.

In pratica, se un sito richiede certificati client, nel server di pubblicazione sarà disponibile il file WSDL come file non in linea distinto che può essere utilizzato dagli utenti del servizio per creare il proxy.

Nella finestra di dialogo Aggiungi riferimento Web accertarsi di aver specificato https per indicare il percorso del servizio Web. In caso contrario verrà generato un errore, in quanto la directory virtuale del servizio Web è configurata per SSL.

Aggiungere un riferimento all'assembly System.EnterpriseServices.

Rinominare class1.cs come ProfileManager.cs.

Aggiungere a ProfileManager.cs la definizione di classe riportata di seguito, sostituendo lo scheletro della classe class1. La classe ProfileManager utilizza P/Invoke per chiamare le API Win32 LoadUserProfile e UnloadUserProfile.

internal class ProfileManager
{
  [DllImport("Userenv.dll", SetLastError=true, 
             CharSet=System.Runtime.InteropServices.CharSet.Auto)]
  internal static extern bool LoadUserProfile(IntPtr hToken, 
                                              ref PROFILEINFO lp
                                              ProfileInfo);

  [DllImport("Userenv.dll", SetLastError=true,
             CharSet=System.Runtime.InteropServices.CharSet.Auto)]
  internal static extern bool  UnloadUserProfile(IntPtr hToken, 
                                                 IntPtr hProfile);

  [StructLayout(LayoutKind.Sequential, CharSet=CharSet.Ansi)]
  public struct PROFILEINFO
  {
    public int dwSize; 
    public int dwFlags; 
    public String lpUserName; 
    public String lpProfilePath; 
    public String lpDefaultPath; 
    public String lpServerName; 
    public String lpPolicyPath; 
    public IntPtr hProfile; 
  }
}

Aggiungere un secondo file di classe denominato MathServiceComponent.cs al progetto.

Aggiungere le istruzioni using riportate di seguito a MathServiceComponent.cs, sotto l'istruzione using esistente.

using System.Net;
using System.Web.Services;
using System.Security.Principal;
using System.EnterpriseServices;
using System.Runtime.InteropServices;
using System.Security.Cryptography.X509Certificates;
using WebServiceRequestor.WebReference1;

Aggiungere la definizione di classe riportata di seguito, che fornisce un metodo CallMathWebService pubblico. Questo metodo verrà chiamato in una procedura successiva da un'applicazione Web ASP.NET client.

Nota: nel codice riportato di seguito, sostituire il nome dell'account utilizzato per caricare il profilo utente con il nome dell'account personalizzato creato al passaggio 3, "Creazione di un account personalizzato per eseguire il componente servito".

// This class calls the web service that requires a certificate.
public class MathServiceComponent : ServicedComponent
{
  [DllImport("advapi32.dll", CharSet=CharSet.Auto, SetLastError=true)]
  private extern static bool DuplicateToken(IntPtr ExistingTokenHandle, 
                                           int SECURITY_IMPERSONATION_
                                           LEVEL,
                                           ref IntPtr DuplicateToken
                                           Handle);

  [DllImport("kernel32.dll", CharSet=CharSet.Auto)]
  private extern static bool CloseHandle(IntPtr handle);

  // Calls the Web service that requires client certificates
  // certFilepath points to the .cer file to use
  // url is the Web service url
  // operand1 and operand2 are the parameters to pass to the Web service
  public long CallMathWebService(String certFilepath, 
                                 String url, int operand1, int operand2)
  {
    bool retVal = false;
    // Need to duplicate the token. LoadUserProfile needs a token with 
    // TOKEN_IMPERSONATE and TOKEN_DUPLICATE.
    const int SecurityImpersonation = 2;
    IntPtr dupeTokenHandle = DupeToken(WindowsIdentity.GetCurrent().Token,
                                       SecurityImpersonation);
    if(IntPtr.Zero == dupeTokenHandle)
    {
      throw new Exception("Unable to duplicate token.");
    }
    // Load the profile.
    ProfileManager.PROFILEINFO profile = new ProfileManager.PROFILEINFO();
    profile.dwSize = 32;
    //TODO: Replace with custom account name created in step 3.
    profile.lpUserName = @"machinename\customaccountname";
    retVal = ProfileManager.LoadUserProfile(dupeTokenHandle, ref profile);
    if(false == retVal)
    {
      throw new Exception("Error loading user profile. " + 
                          Marshal.GetLastWin32Error());
    }
    // Instantiate the Web service proxy
    math mathservice = new math();
    mathservice.Url = url;
    String certPath = certFilepath;
    mathservice.ClientCertificates.Add(
                                X509Certificate.CreateFromCertFile
                                (certPath));
    long lngResult = 0;
    try
    {
      lngResult = mathservice.Add(operand1, operand2);
    }
    catch(Exception ex)
    {
      if(ex is WebException)
      {
        WebException we = ex as WebException;
        WebResponse webResponse = we.Response;
        throw new Exception("Exception calling method. " + ex.Message);
      }
    }
    ProfileManager.UnloadUserProfile(WindowsIdentity.GetCurrent().Token, 
                                     profile.hProfile);
    CloseHandle(dupeTokenHandle);
    return lngResult;
  }

  private IntPtr DupeToken(IntPtr token, int Level)
  {
    IntPtr dupeTokenHandle = new IntPtr(0);
    bool retVal = DuplicateToken(token, Level, ref dupeTokenHandle);
    if (false == retVal)
    {
      return IntPtr.Zero;
    }
    return dupeTokenHandle;
  }
} // end class

Scegliere Genera soluzione dal menu Genera.

Nel computer client del servizio Web creare una nuova applicazione Web ASP.NET Visual C# denominata SecureMathClient.

Aggiungere un riferimento a System.EnterpriseServices.

Aggiungere un riferimento al componente servito WebServiceRequestor.
Passare a WebServiceRequestor.dll, che si trova nella cartella bin\debug all'interno della directory di progetto WebServiceRequestor.

Aprire WebForm1.aspx.cs e aggiungere l'istruzione using riportata di seguito sotto le istruzioni using esistenti.

using WebServiceRequestor;

Visualizzare la pagina WebForm1.aspx in modalità progettazione e creare il modulo illustrato nella figura 2 utilizzando i seguenti ID:

•	operando1
•	operando2
•	risultato
•	somma Figura 3 Struttura dei controlli del modulo Web

Fare doppio clic su Aggiungi per creare un gestore eventi ButtonClick.

Aggiungere al gestore eventi il seguente codice:

Nota: impostare la stringa certPath sul percorso del file del certificato esportato nella procedura 6, "Esportazione del certificato client in un file".

Impostare la stringa url sull'URL HTTPS del servizio Web.

private void add_Click(object sender, System.EventArgs e)
{
  // TODO: Replace with a valid path to your certificate
  string certPath = @"C:\CustomAccountCert.cer";
  // TODO: Replace with a valid URL to your Web service
  string url = "https://wsserver/securemath/math.asmx";
  MathServiceComponent mathComp = new MathServiceComponent();
        
  long addResult = mathComp.CallMathWebService( certPath, 
                                     url, 
                                     Int32.Parse(operand1.Text), 
                                     Int32.Parse(operand2.Text));
  result.Text = addResult.ToString();
}

Scegliere Genera soluzione dal menu Genera.

Eseguire l'applicazione. Immettere due numeri da sommare, quindi scegliere Aggiungi.
L'applicazione Web chiamerà il componente servito, che chiamerà il servizio Web utilizzando SSL e passando il certificato client.