我有错误“X.509证书...链构建失败。使用的证书具有无法验证的信任链。替换证书或更改certificateValidationMode。吊销功能无法检查吊销因为吊销服务器处于离线状态。“
当我在IIS中使用“ApplicationPoolIdentity”下的apppool运行我的wcf服务时出现此错误。我已经为商店中的证书提供了“ApplicationPoolIdentity”帐户(iis apppool *)私钥访问权限。它在“网络服务”下工作正常。证书由我们的域控制器内部发布。我认为微软希望网站现在可以在“ApplicationPoolIdentity”下运行。有没有办法给“ApplicationPoolIdentity”提供正确的权限以避免这个错误,或者我应该只使用“网络服务”?
答案 0 :(得分:3)
当您将WireShark等网络嗅探器放在线路上时,您可能会注意到,您的应用程序池所运行的身份不允许转到证书链中的revocation参数中作为URL提到的位置。如您所述,当应用程序池在NETWORK服务帐户下运行时,不会发生此问题。
如记录的错误所述,您还可以更改revocationMode="NoCheck"以禁用WCF检查已撤销的证书。有关详细信息,请阅读http://msdn.microsoft.com/en-us/library/aa347699.aspx。但你应该这样做只是一个安全的封闭环境或用于开发目的。