WCF客户端只有在用IE访问URL后才能工作

Question

我们有一个 wcf 客户端，它调用外部 Web 服务。通过 SSL 访问该服务。该证书不是自签名证书。它由威瑞信颁发。

客户端托管在 IIS 6 中，应用程序池的身份是域服务用户。

每次我们希望我们的客户端访问远程服务时，我们都会遇到以下众所周知的异常：“无法为具有权限的 SSL/TLS 安全通道建立信任关系 -..”

事实证明，一旦您使用 IE 访问该 URL在同一台服务器上，我们的 WCF 客户端按预期工作并且证书被接受！

我的结论是，使用 IE 访问的 URL 在某种程度上修改了服务器，以便我们的 WCF 客户端能够随后进行验证。我们的 WCF 客户端缺少什么？

（我知道可以通过在 ServerCertificateValidationCallback 中返回 true 来规避证书验证，但这不是生产的选项。）

Answer 1

考虑到所描述的情况，我怀疑您的 IIS 托管客户端无法加载 Verisign 根证书。我总是有点不清楚这样的基于 IIS 的客户端正在尝试使用哪个帐户访问证书存储。它可能是您的域服务帐户用户，可能是 ASP.NET 用户，也可能是其他系统定义的帐户。这经常会导致错误。

当您使用 IE 浏览服务时，毫无疑问用户（您自己的凭据）能够加载 Verisign 根证书并正确解析信任关系。

请：

1. 确保 Verisign 根证书位于本地计算机帐户下的受信任根授权存储中
2. 让客户端的 app.config 引用要从正确存储加载的正确根证书。
3. 您可能需要运行 ProcessMonitor 来找出哪个用户正在尝试从存储区加载证书。