WCF X509 证书身份验证类型 Kerberos 到 NTLM

Question

我在将 WCF 客户端应用程序从开发区域部署到暂存区域（与实时区域相同）时遇到问题。

在我的 ASP.NET 应用程序上。 （具有 WCF 客户端）使用应用程序池的域用户。这意味着当我验证我的 X509 证书时，它使用 Kerberos 身份验证，因为 Windows 域帐户。现在，在临时环境中，我们必须使用应用程序池的本地计算机帐户。这意味着在临时环境中，它在使用 X509 证书进行身份验证时使用 NTLM。这是行不通的。

谁能阐明解决（或解决）此问题的最佳方法是什么？

谢谢

编辑： 异常情况如下：

在 System.Security.Cryptography.CryptographicException.ThrowCryptographicException(Int32 小时）在 System.Security.Cryptography.X509Certificates.X509Utils._LoadCertFromBlob(Byte[] rawData、IntPtr 密码、UInt32 dwFlags、布尔 persistKeySet、 SafeCertContextHandle& pCertCtx) 在 System.Security.Cryptography.X509Certificates.X509Certificate.LoadCertificateFromBlob(Byte[] rawData、对象密码、X509KeyStorageFlags keyStorageFlags）位于 System.Security.Cryptography.X509Certificates.X509Certificate..ctor(Byte[] rawData，字符串密码）位于 System.Security.Cryptography.X509Certificates.X509Certificate2..ctor(Byte[] rawData，字符串密码）位于 ...CertificateManager.GetClientCertificate(typCertificateTypes 证书类型）在

：我获取的证书文件来自 SQL 数据库，而不存储在本地证书存储中。

该应用程序正在使用 WCF 客户端与使用 X509 证书的远程服务器进行通信。我们无法控制服务部分。代码/配置之间的唯一区别是 ASP.NET 应用程序池帐户。此帐户是开发版上的域用户帐户，但在 Staging 和 Prod 上是本地用户帐户。 （我知道不要问！这不是我的选择或决定:)）

Answer 1

这个描述有点不准确，不是吗？您使用什么安全模式以及安全配置中证书的意义是什么？

<罢工>
即使使用域帐户，它仍然可以使用 NTLM，因为它仍然是单环。它在临时环境中不起作用的原因是因为托管服务的服务器不知道托管服务客户端的服务器的本地用户。您可以尝试丑陋的黑客：在第二台服务器上创建一个具有完全相同的用户名和密码的本地用户。但这只是浪费时间，因为您可以以同样的方式简单地关闭身份验证，因为：

不反映生产环境的临时环境无用。一旦它不反映真实环境，它就不再取决于您是否使用不同的身份验证机制或根本不使用身份验证。如果您计划在生产中使用域帐户和 Kerberos，您必须拥有包含测试域和配置的 Kerberos 的临时环境。否则你根本不必使用登台，因为无论如何你都会修复生产中真正的集成错误。

好吧，所以你的问题很模糊，因为它显然与帐户无关，而且 WCF 的安全性也不是完全受 Kerberos 或 NTLM 影响，因为您正在使用客户端证书对服务进行身份验证，不是吗？异常堆栈跟踪表明您的代码无法从原始数据（从 SQL 服务器加载？）创建有效的证书。因此，要么 SQL 数据库中的数据不正确，要么密码不正确，要么您没有正确加载数据。

Answer 2

当您的 ASP.net 应用程序运行所在的应用程序池无法访问您想要为 WCF 服务调用附加的客户端证书的私钥时，通常会出现此错误。请确保应用程序池身份有权访问证书私钥。您还可以粘贴您用来加载证书并将其附加到 WCF 服务调用的代码吗？