Как предоставить IIS 7.5 доступ к сертификату в хранилище сертификатов?
В Windows 2003 это было просто сделать, и можно было использовать winhttpcertcfg.exe ( скачать), чтобы предоставить учетной записи "NETWORK SERVICE" доступ к сертификату.
Сейчас я использую Windows Server 2008 R2 с IIS 7.5 и не могу найти, где и как установить разрешения для доступа к сертификату в хранилище сертификатов. В этом посте показано, как это сделать в Vista, и что функции winhttpcertcfg были добавлены в сертификаты mmc, однако, похоже, он не работает с импортированными сертификатами или больше не работает на Server 2008 R2.
Так есть ли у кого-нибудь представление о том, как дать IIS 7.5 правильные разрешения на чтение сертификата из хранилища сертификатов? А также какая учетная запись из IIS 7.5, для которой требуется разрешение.
1 ответ
- Создать / купить сертификат. Убедитесь, что у него есть закрытый ключ.
- Импортируйте сертификат в учетную запись "Локальный компьютер". Лучше всего использовать сертификаты ММС. Обязательно установите флажок "Разрешить экспорт закрытого ключа"
На основании этого для идентификации пула приложений IIS 7.5 используется одно из следующих.
- Сайт IIS 7.5 работает под
ApplicationPoolIdentity, С помощью MMC "Сертификаты" добавлено "IIS AppPool\AppPoolName" в "Полное доверие" для сертификата в "Локальный компьютер \ Личный". Замените "AppPoolName" на имя вашего пула приложений. - Сайт IIS 7.5 работает под
NETWORK SERVICE, Используя сертификаты MMC, добавили "СЕТЕВАЯ СЕРВИС" к Полному доверию на сертификате в "Локальный компьютер \ Личный". - Сайт IIS 7.5 работает под
MyIISUserучетная запись пользователя локального компьютера. Используя MMC "Сертификаты", MyLISUser (новая учетная запись пользователя локального компьютера) добавлен в "Полное доверие" для сертификата в "Локальный компьютер \ Личный".
- Сайт IIS 7.5 работает под
Чтобы добавить пользователя в Full Trust сертификата. Щелкните правой кнопкой мыши сертификат -> All Tasks -> Manage Private Keys