Конфигурирование IIS ARR для клиентской аутентификации сертификата бэкенда

Скорее всего, Microsoft ARR использует CAPI для хранения своих сертификатов, но нет гарантии, что ARR будет использовать его, даже если вы сделаете сертификат доступным для него. Аутентификация на стороне клиента требует дополнительного кода, и ваши требования не так распространены. Его можно было упустить из виду и оставить позади ...

Чтобы сделать ваш клиентский сертификат доступным для службы, вы должны отредактировать его "МОЕ" хранилище CAPI. Запустите mmc.exe из командной строки с повышенными привилегиями и добавьте оснастку сертификата. Вам нужно будет выбрать, какое хранилище CAPI использовать. Выберите магазин компьютера. Импортируйте свой сертификат в «Личные сертификаты», убедившись, что вы импортировали с ним закрытый ключ (это будет сказано, когда вы вернетесь и просмотрите импортированный сертификат).

Если добавить сертификат в компьютерное хранилище не удается, попробуйте сервисный магазин. Это потребуется, если ARR работает с собственным идентификатором.

У меня также была проблема с AD-LDS, когда у службы не было доступа на чтение к закрытому ключу. Эта статья была полезной, но, возможно, она слишком далека от ARR. Найдите на этой странице особый случай ADAM, вы ищете команду

Certutil –V –Verifystore MY 0