禁用 IIS 客户端证书信任检查和验证

Question

我们的 ASP.NET Core 应用程序中有一些自定义客户端证书验证。它在独立运行时运行良好（即，仅使用 Kestrel 服务器）。但是，在生产中，我们希望在 Kestrel 前面有一个 IIS。不幸的是，IIS 执行了自己的验证/信任检查，并认为客户端证书无效（返回 403.16）。

如何克服这个问题？如何在 IIS 中禁用客户端证书验证 + 信任检查？ IIS 应该简单地将客户端证书转发给我们，而不用做任何其他事情。我们明确不希望将客户端证书导入受信任的根存储区（或机器上的任何证书存储区）。

Answer 1

根据您的描述，我猜证书颁发机构的根证书不在 IIS Web 服务器上的 Trusted Root Certification Authorities 证书存储中。所以你面临这个问题。

我建议你可以按照下面的步骤来导入它。

1.在 IIS Web 服务器上，单击“开始”，在“开始搜索”框中键入 mmc.exe，右键单击 mmc.exe，然后单击“以管理员身份运行”。

2.在文件菜单上，单击添加/删除管理单元。

3.在可用的管理单元下，单击证书，然后单击添加。

4.单击计算机帐户，然后单击下一步。

5.单击本地计算机，单击完成，然后单击关闭。

6.要退出向导，请单击“确定”。

7.展开证书，展开受信任的根证书颁发机构，右键单击证书，指向所有任务，然后单击导入。

8.在证书导入向导中，单击下一步。

9.在“文件名”框中，键入证书颁发机构根证书的位置，然后单击“下一步”。

10.单击下一步，然后单击完成。

更多细节，你可以参考这个article。