这种情况我在开发调试时也遇到过好几次，核心原因就是你的客户端不信任认证服务器的SSL证书（大概率是自签名证书或者未被系统信任的证书），导致安全连接建立失败，进而无法获取OpenID配置文档。给你几个针对性的解决办法，按需求选就行：

1. 临时绕过证书验证（仅开发环境使用！） #

如果只是临时测试，不想折腾证书导入，可以让客户端直接忽略证书错误。以.NET技术栈为例：

• 如果你用HttpClient手动请求配置：

  var handler = new HttpClientHandler();
  // 强制信任所有证书，开发环境专用
  handler.ServerCertificateCustomValidationCallback = (sender, cert, chain, sslPolicyErrors) => true;
  var httpClient = new HttpClient(handler);
  // 之后用这个httpClient请求配置地址
  var config = await httpClient.GetStringAsync("https://auth-server/.well-known/openid-configuration");
  

• 如果是ASP.NET Core项目中配置OpenID Connect认证：

  services.AddAuthentication(options =>
  {
      options.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme;
      options.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme;
  })
  .AddCookie()
  .AddOpenIdConnect(options =>
  {
      options.MetadataAddress = "https://auth-server/.well-known/openid-configuration";
      // 给OpenID的后台请求设置忽略证书验证的Handler
      options.BackchannelHttpHandler = new HttpClientHandler
      {
          ServerCertificateCustomValidationCallback = (sender, cert, chain, sslPolicyErrors) => true
      };
      // 其他必要配置（ClientId、ClientSecret等）
  });
  

⚠️ 注意：这个方法绝对不能用于生产环境，会带来严重的安全风险！

2. 将认证服务器证书导入客户端信任存储（推荐长期开发用） #

如果需要长期在这个开发环境工作，把证书导入系统的受信任根证书存储是更规范的做法，和生产环境的信任逻辑一致：

• 首先获取认证服务器的证书：可以在浏览器访问https://auth-server，点击地址栏的锁图标，查看证书并导出为.cer格式文件；
• 在Windows系统中，按下Win+R输入certmgr.msc打开证书管理器；
• 展开“受信任的根证书颁发机构” -> 右键点击“证书” -> 选择“所有任务” -> “导入”；
• 按照导入向导选择刚才导出的证书文件，完成导入即可。

之后客户端就会信任这个证书，不需要再绕过验证，也能避免后续其他HTTPS请求的证书错误。

3. 检查认证服务器的证书配置 #

如果以上方法都不想用，也可以排查认证服务器的证书本身：

• 确认证书的主体名称/备用名称和auth-server的域名完全匹配；
• 检查证书是否过期，或者是不是自签名证书（自签名默认不受系统信任）；
• 如果是容器部署的认证服务器，检查证书文件是否正确挂载到容器内，配置文件中证书路径是否正确。

错误原因补充 #

你看到的一连串错误：WinHttpException: 发生安全错误 → HttpRequestException: 发送请求时发生错误 → IOException: IDX10804: 无法从以下地址检索文档，本质是连锁反应：底层WinHTTP组件因为证书不受信任拒绝建立连接，上层HTTP客户端抛出请求错误，最后OpenID的验证库因为拿不到配置文档抛出最终异常，根源都是SSL证书的信任问题。

内容的提问来源于stack exchange，提问作者Zeus82