IIS ApplicationPoolIdentity和对证书吊销服务器的访问

Question

我收到错误消息"The X.509 certificate ... chain building failed。所使用的证书具有无法验证的信任链。请替换证书或更改certificateValidationMode。吊销功能无法检查吊销，因为吊销服务器处于脱机状态。“

当我在IIS中使用"ApplicationPoolIdentity“下的应用程序池运行我的wcf服务时，我得到了这个错误。我已经为"ApplicationPoolIdentity“帐户(iis apppool*)提供了对存储中证书的私钥访问权限。它在“网络服务”下运行良好。该证书是从我们的一个域控制器内部颁发的。我以为微软现在想让网站在"ApplicationPoolIdentity“下运行。有没有办法给"ApplicationPoolIdentity“正确的权限以避免这个错误，或者我应该直接使用”网络服务“？

Answer 1

当您将像WireShark这样的网络嗅探器放在线路上时，您可能会注意到，您的应用程序池在其下运行的标识不允许转到证书链中的吊销参数中提到的URL位置。正如您所描述的，当应用程序池在网络服务帐户下运行时，不会发生该问题。

正如记录给您的错误所述，您还可以更改revocationMode="NoCheck"以禁用已吊销证书的WCF检查。有关详细信息，请阅读http://msdn.microsoft.com/en-us/library/aa347699.aspx。但您应该只在安全的封闭环境中或出于开发目的才这样做。