Q1：证书过期后是否无法使用，是否可直接删除？我在较新Windows服务器上发现有1999年到期的受信任证书，部分文章建议删除过期证书。 #

• 过期证书会被系统判定为不可信，无法正常用于SSL/TLS连接，客户端（如浏览器）会抛出证书过期的安全错误。
• 受信任根存储区里的过期证书可以直接删除，它们已经失去效力，留在系统中只会增加管理冗余，不会对依赖有效证书的应用造成影响。

Q2：过期证书无法续期，必须重新生成新证书吗？ #

是的，过期证书无法续期，必须重新生成或申请新证书。无论是自签名证书还是CA颁发的证书，过期后都只能通过重新生成/申请流程获取新的有效期延长的证书，所谓的“续期”本质也是生成新证书的过程。

Q3：某服务器上有4个'localhost'证书，其中2个已过期、2个有效。若存在同名证书，如何确定每个.NET应用使用的是哪一个？是否仅需匹配VS中项目属性的'SSL URL'？ #

不能仅通过VS项目属性的SSL URL判断，需要通过以下方式确认：

• IIS绑定配置：打开IIS管理器，找到对应站点的HTTPS绑定，查看选中证书的指纹（每个证书的指纹唯一，可在MMC证书管理单元中匹配）
• 项目配置文件：.NET Framework项目查看web.config中的SSL相关配置；.NET Core/.NET 5+项目查看launchSettings.json或appsettings.json里的Kestrel证书配置，通常会指定证书指纹
• 证书存储区验证：在MMC中打开证书管理单元，通过指纹找到对应证书，核对其有效期、用途等信息

VS的SSL URL仅指定了端口，实际关联的证书由端口绑定的证书决定，同名证书靠唯一指纹区分。

Q4：是否只需1个自签名'localhost'证书即可覆盖所有.NET Web应用（包括.NET Framework和.NET Core）？二者有区别吗？我想了解为何存在多个localhost证书。 #

• 是的，一个有效的自签名localhost证书（添加到受信任根证书颁发机构存储区）可以被所有.NET Web应用共用，只要应用的HTTPS绑定指向该证书。
• .NET Framework和.NET Core的区别仅在于证书配置方式：.NET Framework依赖IIS绑定或web.config配置；.NET Core可通过IIS绑定、Kestrel配置（如appsettings.json中指定证书指纹）来使用证书。
• 多个localhost证书的常见原因：
  • VS早期版本创建新Web项目时，会自动生成独立的localhost证书
  • 手动多次生成自签名证书
  • 不同版本的.NET SDK自动生成的证书
  • 第三方工具/脚本生成的localhost证书

Q5：Web应用的SSL证书预期用途是否应为'Client Authentication'而非'Server Authentication'？为何我看到的主要是后者？ #

Web应用的SSL证书预期用途应该是Server Authentication（服务器身份验证），这是正确的配置。因为Web服务器需要向客户端（浏览器、API调用方）证明自身身份，Server Authentication正是用于该场景的证书扩展用途。

Client Authentication用于客户端向服务器证明身份的场景（如客户端证书登录），并非Web服务器证书的核心用途，所以你看到的主流配置都是Server Authentication。

内容的提问来源于stack exchange，提问作者Mark Worrall