今天,我的托管服务提供商表示可以通过HTTPS访问ASP.NET应用程序,即使没有为SSL证书存储授予 Application's Pool Identity (至少READ-ONLY)权限 .
为了简化某人's research i'建议看一下THIS链接
-
IIS 7.5
-
该项目使用 DefaultApplicationPool
-
Identity = ApplicationPoolIdentity
问题:托管服务提供商是否伪造我?或者,为了通过ASP.NET项目的HTTPS协议访问网站资源,服务器 MUST 已授予对此项目应用程序池的ApplicationPoolIdentity的访问权限?
备注:
不给 additional 访问:IIS_IUSRS;用户组,NETWORK SERVICE和其他 . 只需留下 default "Administrators Group" .
1 回答
简短的回答是:不,托管服务提供商不会伪造你 .
服务器(IIS)必须能够访问相应SSL证书的私钥才能正确 Build 与客户端的SSL通道 . 据我所知,IIS服务器默认具有此权限(因为万维网发布服务在本地系统帐户下运行,并且此帐户默认具有访问本地计算机存储的权限) . 在IIS服务器之上有托管asp.net页面的应用程序池 .
但是,如果您的网页由于某种原因需要访问本地机器商店中的证书(即它签署数据或向另一个需要客户端证书的URL请求Web请求),那么应用程序池必须能够访问相应的私钥,您可以必须使用您发布的the guide设置权限 .