刚好之前帮别人解决过类似的问题，针对你这种IIS托管下ASP.NET Core ConfigureServices 方法里的异常捕获（尤其是证书缺失这种日志系统还没初始化就崩的场景），给你几个实用的方案：

因为ConfigureServices在应用日志系统初始化前执行，所以没法用常规的日志组件。最简单的办法就是在异常分支里直接写文件，而且只针对IIS环境做处理：

• 先通过注入的IWebHostEnvironment判断当前是否是IIS托管
• 遇到异常时，用File.AppendAllText()写入指定的日志路径，记得先创建目录避免报错
• 示例代码：

private readonly IWebHostEnvironment _env;

public Startup(IWebHostEnvironment env)
{
    _env = env;
}

public void ConfigureServices(IServiceCollection services)
{
    try
    {
        // 你的证书加载逻辑
        var cert = new X509Certificate2("path/to/your/cert.pfx", "cert-password");
        services.AddSingleton(cert);
        // 其他服务配置...
    }
    catch (Exception ex)
    {
        if (_env.IsIis())
        {
            var logDir = @"C:\Logs\AspNetCoreStartupErrors";
            Directory.CreateDirectory(logDir);
            var logPath = Path.Combine(logDir, $"Startup_{DateTime.Now:yyyyMMdd}.log");
            var logContent = $"[{DateTime.Now:yyyy-MM-dd HH:mm:ss.fff}] ERROR in ConfigureServices:{Environment.NewLine}" +
                            $"Message: {ex.Message}{Environment.NewLine}" +
                            $"Stack Trace: {ex.StackTrace}{Environment.NewLine}{Environment.NewLine}";
            File.AppendAllText(logPath, logContent);
        }
        // 别吞异常！抛出后让应用终止，避免进入不稳定状态
        throw;
    }
}

⚠️ 重点：要给IIS应用池的身份（比如IIS APPPOOL\你的应用池名称）配置日志目录的读写权限，不然会写失败。

IIS本身可以捕获ASP.NET Core进程的stderr输出，这也是早期启动异常的默认输出渠道：

• 打开IIS管理器，找到你的站点 → 右键选择「配置编辑器」
• 在「节」下拉框里找到system.webServer/aspNetCore
• 设置stdoutLogEnabled="true"，然后指定stdoutLogFile的路径（比如.\logs\stdout，相对路径是站点根目录）
• 保存配置后，ConfigureServices里未被捕获的异常会自动写入到这个日志文件里——因为ASP.NET Core启动初期的异常会输出到stderr，而IIS会把stderr重定向到你配置的stdout日志文件中

如果你不想手动写文件，可以在Program.cs里提前初始化一个简单的日志提供者，让它在ConfigureServices之前就生效：

• 先通过NuGet安装一个文件日志包，比如Microsoft.Extensions.Logging.File（或者自己实现一个简单的）
• 在Program.cs的CreateHostBuilder里提前配置日志：

public static IHostBuilder CreateHostBuilder(string[] args) =>
    Host.CreateDefaultBuilder(args)
        .ConfigureLogging(logging =>
        {
            // 清除默认日志提供者，只保留文件日志（可选）
            logging.ClearProviders();
            // 配置早期日志路径
            logging.AddFile(@"C:\Logs\AspNetCoreEarly\EarlyStartupLogs.log");
        })
        .ConfigureWebHostDefaults(webBuilder =>
        {
            webBuilder.UseStartup<Startup>();
            webBuilder.UseIIS();
        });

• 然后在Startup的构造函数里注入ILogger<Startup>，就可以在ConfigureServices里用它记录异常了：

private readonly ILogger<Startup> _logger;
private readonly IWebHostEnvironment _env;

public Startup(ILogger<Startup> logger, IWebHostEnvironment env)
{
    _logger = logger;
    _env = env;
}

public void ConfigureServices(IServiceCollection services)
{
    try
    {
        // 证书加载逻辑...
    }
    catch (Exception ex)
    {
        if (_env.IsIis())
        {
            _logger.LogCritical(ex, "ConfigureServices failed in IIS hosting environment");
        }
        throw;
    }
}

几个关键提醒： #

• 权限优先：不管用哪种方案，都要确保应用池身份有日志目录的读写权限，这是最容易踩坑的点
• 不要吞异常：捕获日志后一定要抛出异常，让应用终止，避免应用在缺失证书的不稳定状态下运行
• 环境隔离：用_env.IsIis()判断环境，避免这些日志逻辑影响Kestrel单独运行的场景

内容的提问来源于stack exchange，提问作者ubi