遇到客户端证书获取不到的情况，咱们可以从以下几个常见方向逐一排查：

• 检查Web服务器的客户端证书配置（以IIS为例）
  如果你的Web API部署在IIS上，首先要确认站点的SSL设置：

  • 打开IIS管理器，找到你的站点，右键选择“编辑绑定”，确保绑定的是HTTPS协议，并且选择了正确的服务器证书。
  • 进入站点的“SSL设置”，将“客户端证书”设置为**“需要”或者“接受”**：
    • 如果设为“忽略”，即使客户端发送了证书，IIS也不会接收，自然GetClientCertificate()会返回null。
    • 注意：设为“需要”时，所有未携带有效证书的请求都会被直接拒绝；设为“接受”则允许无证书请求，但会接收携带的证书。

• 验证客户端证书的加载与请求附加逻辑
  你的客户端代码片段提到了X509Store，要确保：

  • 正确加载了目标证书：确认StoreName、StoreLocation参数正确，并且证书确实存在于该存储区（可以用证书管理器certmgr.msc或mmc添加证书管理单元查看）。
  • 将证书正确附加到请求中：如果使用HttpClient，需要把证书添加到HttpClientHandler的证书集合里，示例代码如下：

    using (var store = new X509Store(StoreName.My, StoreLocation.CurrentUser))
    {
        store.Open(OpenFlags.ReadOnly);
        var certCollection = store.Certificates.Find(X509FindType.FindByThumbprint, "你的证书指纹", true);
        if (certCollection.Count > 0)
        {
            var clientCert = certCollection[0];
            var handler = new HttpClientHandler();
            handler.ClientCertificates.Add(clientCert);
            using (var client = new HttpClient(handler))
            {
                // 发送HTTPS请求到你的API
                var response = await client.GetAsync("https://your-api-url/endpoint");
            }
        }
        store.Close();
    }
    

  • 客户端运行权限：如果从StoreLocation.LocalMachine加载证书，客户端进程需要有读取该存储区的权限（通常需要管理员权限）。

• 确认请求使用HTTPS协议
  客户端证书只能通过HTTPS传输，所以务必确保你的API请求是使用https://开头的URL，而不是http://——HTTP请求不会涉及任何证书交换流程。

• 排查Web API的宿主配置（非IIS场景）
  如果你的Web API是自托管（比如使用HttpSelfHostServer），需要在配置中明确启用客户端证书支持：

  var config = new HttpSelfHostConfiguration("https://localhost:8080");
  config.ClientCertificateValidationCallback = (sender, cert, chain, sslPolicyErrors) => true; // 临时用于测试，生产环境要做严格验证
  config.RequireClientCertificate = true;
  

• 排除中间代理/负载均衡的影响
  如果客户端和API服务器之间存在代理、负载均衡（比如IIS ARR、NGINX），需要确保中间设备配置了传递客户端证书的功能：

  • 以IIS ARR为例，需要在服务器代理设置中启用“启用客户端证书”选项，否则代理会丢弃客户端证书，导致服务器接收不到。

• 验证证书本身的有效性
  确保客户端证书是有效的：

  • 证书未过期，且包含正确的用途（客户端身份验证）。
  • 服务器的“受信任根证书颁发机构”存储区中，包含签发该客户端证书的CA证书（否则服务器可能会拒绝接收证书）。

• 换个阶段获取证书，排查Filter的问题
  可以尝试在DelegatingHandler中获取证书，看看是否能拿到，以此排除AuthorizationFilter的时机问题：

  public class CertificateCheckHandler : DelegatingHandler
  {
      protected override async Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
      {
          var cert = request.GetClientCertificate();
          if (cert == null)
          {
              // 这里可以记录日志或者返回错误，确认是否在Handler阶段也拿不到证书
              return request.CreateErrorResponse(HttpStatusCode.Unauthorized, "未检测到客户端证书");
          }
          return await base.SendAsync(request, cancellationToken);
      }
  }
  

  然后在Web API配置中注册这个Handler：

  config.MessageHandlers.Add(new CertificateCheckHandler());
  

如果以上步骤都排查过，还是无法解决，可以补充更多信息，比如API的部署环境（IIS/自托管/其他）、客户端的具体请求代码、服务器的SSL配置截图等，方便进一步定位问题。

内容的提问来源于stack exchange，提问作者Jepzen