Почему сервер не видит клиентский сертификат?

Question

[palachos]

Имеется веб-сервис IIS на сервере Windows, данный сайт делает обращение к стороннему веб-сервису, на котором организована авторизация по клиентскому сертификату (mTLS).
Клиентский сертификат установлен у пользователя, из-под которого работает веб-сервис.
Сертификат виден и все работает, пока на сервере имеется активная сессия по RDP пользователя под которым работает пул веб-сервиса.
С чем может быть связано такое поведение и можно как-то заставить чтобы сертификат был доступен без открытой сессии пользователя?

Answer 1

[Роман Безруков]

Переложите этот сертификат в хранилище локальной машины - сейчас он в пользовательском хранилище. Может потребоваться повторная привязка сертификата к веб-сервису в IIS

Comments

[palachos]

Спасибо за ответ
Разве для пользователя, из-под которого работает приложения, не должны быть видны его личные сертификаты?

[Роман Безруков]

palachos, личные сертификаты пользователя (Current User/Personal store) хранятся в ветке реестра HKCU. Эта ветка доступна, когда пользователь выполнил интерактивный вход в систему.
Вы же запускаете веб-сервис от имени какого-то пользователя с правами Logon As A Service, т.е. не выполняете интерактивный вход - в этом случае ветка HKCU не грузится, а сертификаты читаются из ветки HKLM. Если нужного сертификата там нет - получите ошибку

Answer 2

[AUser0]

IMHO всё просто: нет локального/RDP логина пользователя - нет загруженного реестра этого пользователя - нет сертификатов этого пользователя.

IIS ведь из-под кого работает, из-под пользователя System? Тогда и сертификат нужно грузить пользователю System...

Comments

[palachos]

Пул приложения IIS работает под тем же пользователем, у которого установлен сертификат