2. 질의 응답
  3. IIS ApplicationPoolIdentity 및 인증서 해지 서버에 대한 액세스

IIS ApplicationPoolIdentity 및 인증서 해지 서버에 대한 액세스

2011-11-04 3 views
1

"X.509 인증서 ... 체인 구축에 실패했습니다. 사용 된 인증서에 확인할 수없는 트러스트 체인이 있습니다. 인증서를 바꾸거나 certificateValidationMode를 변경하십시오. 해지 서버가 오프라인 상태이므로 해지 기능에서 해지를 확인할 수 없습니다. "IIS ApplicationPoolIdentity 및 인증서 해지 서버에 대한 액세스

"ApplicationPoolIdentity"아래의 apppool과 함께 IIS에서 wcf 서비스를 실행할 때이 오류가 발생합니다. "ApplicationPoolIdentity"계정 (iis apppool *)에 저장소의 인증서에 대한 개인 키 액세스 권한을 부여했습니다. 그것은 "네트워크 서비스"에서 잘 작동합니다. 인증서는 도메인 컨트롤러 중 하나에서 내부적으로 발급됩니다. Microsoft는 웹 사이트가 이제 "ApplicationPoolIdentity"아래에서 실행되기를 원한다고 생각했습니다. 이 오류를 방지하기 위해 "ApplicationPoolIdentity"에 올바른 권한을 부여하는 방법이 있습니까? 아니면 대신 "네트워크 서비스"를 사용해야합니까?

출처

2011-11-04 skeletank

답변

3

WireShark와 같은 네트워크 스니퍼를 연결할 때주의해야 할 것은 응용 프로그램 풀이 실행중인 ID가 인증서의 해지 매개 변수에있는 URL로 언급 된 위치로 이동할 수 없다는 것입니다 체인. 설명하는 것처럼 NETWORK 서비스 계정에서 응용 프로그램 풀이 실행 중일 때 이러한 문제가 발생하지 않습니다.

오류가 기록 된대로 revocationMode="NoCheck"을 변경하여 해지 된 인증서의 WCF 확인을 사용하지 않도록 설정할 수도 있습니다. 자세한 내용은 http://msdn.microsoft.com/en-us/library/aa347699.aspx을 참조하십시오. 그러나 안전한 폐쇄 환경 또는 개발 목적으로 만 수행해야합니다.

출처

2011-11-04 22:23:34 kroonwijk

+0

RevocationMode = "NoCheck"가 올바르게 작동 함. 내가 "해지"를 확인하기 때문에 "네트워크 서비스"를 사용하겠습니다. – skeletank

+0

@kroonwijk : 해지 확인을 수행하기 위해 ApplicationPoolIdentity 액세스 권한을 부여하는 방법에 대한 단서가 있습니까? 네트워크 서비스를 응용 프로그램 풀의 로그온 계정으로 사용하지 않고 해지 확인을 수행하려면 –

+0

@skeletank : 네트워크에서 해지 확인을 수행하기 위해 ApplicationPoolIdentity 액세스 권한을 부여하는 것을 고려하지 않습니다. 대신 네트워크에서이 특정 응용 프로그램 풀을 실행하는 명명 된 서비스 계정을 생성하고 해당 인증서 해지 URL에 대한 액세스 권한을 부여하십시오. – kroonwijk

관련 문제

 관련 문제