Tengo un servicio WCF y un cliente que se implementará en varias compañías (cientos). Algunas compañías ejecutarán el software en su red y otras lo ejecutarán a través de Internet (servidor WCF en la oficina, cliente WCF en otra).

Queremos cifrar la comunicación entre el servidor WCF y el cliente. No tenemos ninguna necesidad de autenticar el cliente / suscriptor mediante la seguridad de WCF, porque tenemos nuestro propio nombre de usuario / contraseña de inicio de sesión que los clientes usarán para iniciar sesión en el servidor.

No podemos confiar en la autenticación de Windows porque algunos de los usuarios lo ejecutarán a través de Internet y es posible que el servidor WCF no esté en el mismo dominio que el cliente WCF.Si usamos certificados "reales" *, las compañías que ejecutan el software tendrían que comprar certificados de una CA e instalarlo, y luego configurar nuestro software para usarlo, pero esto es demasiado complicado para la mayoría de ellos.Podríamos crear certificados automáticamente durante la instalación del servidor WCF, pero luego tendríamos que instalarlo automáticamente en un almacén de certificados y de alguna manera otorgar automáticamente los permisos de IIS para leer el certificado. Esto es más complicado de lo que nos gustaría.

En resumen, queremos una solución simple donde el cifrado solo se basa en un secreto compartido, en nuestro caso, el nombre de usuario / contraseña con el que el usuario está iniciando sesión. Entiendo que esto no proporcionará el mejor cifrado disponible, pero estamos dispuestos a intercambiar parte de la seguridad para facilitar la implementación del software.

es posible?

* Con los certificados "reales", me refiero a los certificados comprados a una autoridad de certificación, y no a uno que yo mismo haya creado / autofirmado.