Iis 如何防止使用；“本地系统”；通过证书连接时的应用程序池标识

我需要在IIS服务器上配置的站点（在Win 2019上）使用证书与外部服务通信。 证书存在于个人和受信任类别的证书插件中。 它还使用中间证书

正确的应用程序池对/个人中的证书具有完全权限。也是“网络服务”用户。 私人证书不可导出

当应用程序池配置了标识“LocalSystem”但不使用“ApplicationPoolIdentity”时，SSL连接可以工作。 将应用程序池的“加载用户配置文件”从false更改为true不会改变任何内容

该网站使用为其编写的库，仅在公司内部使用。

---

使用库时，使用“LocalSystem”是唯一的解决方案吗？

您可以在应用程序池标识中尝试不同的用户帐户

内置用户帐户 选择此选项以使用预定义的安全帐户之一。然后选择以下帐户之一：

• LocalSystem-本地系统帐户拥有所有用户权限，并且 Web服务器上Administrators组的一部分。无论何时 可能的话，避免使用本地系统帐户，因为它会导致 您的Web服务器存在严重的安全风险
• LocalService-本地服务帐户是用户的成员 组，并具有与网络服务帐户相同的用户权限， 但仅限于本地计算机。当工作人员需要时使用此帐户 应用程序池中的进程不需要在 运行它的Web服务器
• NetworkService-默认情况下，选择网络服务帐户。 它是用户组的成员，具有以下用户权限： 需要运行应用程序。它可以在整个活动过程中进行交互 使用计算机帐户的凭据建立基于目录的网络。 此帐户提供了最大的安全性，可以抵御可能发生的攻击 尝试接管Web服务器
• ApplicationPoolIdentity-从IIS 7开始，应用程序池可以 将作为“ApplicationPoolIdentity”帐户而不是 “网络服务”帐户。这是的专用伪用户帐户 应用程序池的工作过程，建议使用 池标识。 自定义用户帐户 选择此选项可为应用程序池标识配置自定义用户帐户

自定义用户帐户 选择此选项可为应用程序池标识配置自定义用户帐户

已安装用户帐户 您可以配置要在其中运行工作进程的已安装用户帐户

基于属性的用户 通过使用对Windows Installer属性的引用，可以动态选择希望工作进程在其下运行的用户名和密码。通过使用此选项，您可以选择选择密码的方式：

密码属性 密码存储在属性中

预定义密码 通过选择此选项，您可以定义自己的密码

---

注意：如果使用自定义标识，请确保指定的用户帐户是Web服务器上IIS_IUSRS组的成员，以便该帐户能够正确访问资源。此外，当您在环境中使用Windows和Kerberos身份验证时，可能需要向域控制器（DC）注册服务原则名称（SPN）。

太好了。谢谢你，西奥博尔德。它仍然在网络服务下工作。