IIS ApplicationPoolIdentity и доступ к серверу отзыва сертификатов

Question

У меня ошибка «Неудачное построение цепочки сертификатов X.509. Использованный сертификат имеет цепочку доверия, которую невозможно проверить. Замените сертификат или измените CertificateValidationMode. Функция отзыва не смогла проверить отзыв потому что сервер отзыва был отключен. "

Я получаю эту ошибку при запуске службы wcf в IIS с пулом приложений в разделе «ApplicationPoolIdentity». Я дал разрешения доступа к закрытым ключам учетных записей «ApplicationPoolIdentity» (iis apppool *) к сертификатам в хранилище. Работает нормально под «Сетевой сервис». Сертификат выдан из одного из наших контроллеров домена. Я думал, что Microsoft хочет, чтобы веб-сайты теперь запускались под ApplicationPoolIdentity. Есть ли способ дать правильные разрешения для «ApplicationPoolIdentity», чтобы избежать этой ошибки, или я должен просто использовать вместо «Network Service» вместо?

Answer 1

Что вы, вероятно, заметите, когда поместите в линию сетевой сниффер, например WireShark, это то, что идентификация, под которой работает ваш пул приложений, не может перейти в местоположение, указанное в качестве URL-адреса в параметре отзыва в цепочке сертификатов. , Эта проблема не возникает, когда пул приложений работает под учетной записью службы NETWORK, как вы описали.

Как указано в сообщенной вам ошибке, вы также можете изменить revocationMode="NoCheck", чтобы отключить проверку WCF для отозванных сертификатов. Прочитайте http://msdn.microsoft.com/en-us/library/aa347699.aspx для деталей. Но вы должны делать это только в безопасной закрытой среде или в целях разработки.