这个问题我之前帮不少开发者踩过坑，核心在于CRM沙箱的安全边界设计——哪怕证书已经在内存里，底层的操作权限还是被严格限制了，咱们来详细说清楚：

为什么内存中的证书也用不了？ #

• 沙箱的权限锁死了底层操作：CRM沙箱插件运行在一个极度受限的安全上下文里，SecurityPermission异常本质是因为用证书发起HTTPS请求时，.NET底层会调用系统加密API、访问加密服务提供程序(CSP)，这些操作都需要超出沙箱默认权限的权限（比如非托管代码访问、加密操作权限），和证书是不是在内存里没关系。
• 证书绑定TLS会话的依赖：就算你把证书字节硬编码加载成X509Certificate2对象，当WebClient发起请求时，需要把证书绑定到TLS会话，这个过程要和系统级的加密组件交互，沙箱插件根本没有这个权限。

理论上沙箱里能直接用证书吗？ #

很遗憾，标准沙箱模式下完全不可行。沙箱的设计目标就是隔离插件，防止它访问系统敏感资源或者执行高风险操作，而客户端证书的TLS握手刚好属于被禁止的高权限操作范畴，没有绕过的空间。

可行的解决办法 #

• 搭个中间代理服务：这是最稳妥的方案。你可以写一个简单的ASP.NET Web API或者Azure Function作为代理，让沙箱插件调用这个代理，再由代理拿着客户端证书去请求外部Web服务。代理运行在沙箱之外，不受CRM的权限限制，还能顺便做请求日志、重试这些额外处理。
• 切换到非沙箱模式：如果你的插件不需要在多租户环境运行，或者能拿到足够的运维权限，可以把插件注册时的“隔离模式”设为“无”（也就是脱离沙箱）。这样插件会在CRM服务器的主进程里跑，权限足够用证书发起请求，但要注意，非沙箱插件的错误可能影响整个CRM系统，一定要做好异常处理和充分测试。
• 检查CRM版本的特殊支持：极少数情况下，某些新版本的Dynamics CRM可能针对证书操作开放了特定权限集，但这种情况非常少，建议先查一下你用的CRM版本的官方文档确认。

内容的提问来源于stack exchange，提问作者bech