我来帮你梳理下客户端证书在IIS 10 + ASP.NET环境下配置的关键步骤，以及那些容易踩的坑——毕竟自签名证书的验证配置细节不少，稍不注意就会出问题：

一、先确认自签名客户端证书的有效性 #

用makecert.exe生成证书时，一定要指定客户端认证的增强密钥用法（EKU），否则IIS会直接不认这个证书的客户端身份。给你个标准的生成命令参考：

makecert -r -pe -n "CN=YourCustomClientCert" -ss My -sr CurrentUser -sky exchange -eku 1.3.6.1.5.5.7.3.2 -len 2048

这里的-eku 1.3.6.1.5.5.7.3.2就是标记证书用于客户端身份验证的关键参数，很多人会漏掉这一步！
生成后打开MMC的证书管理单元（选「我的用户账户」），进入「个人→证书」，确认证书的「预期目的」里包含「客户端身份验证」。

二、IIS站点的核心配置步骤 #

1. SSL绑定与客户端证书要求

   • 打开IIS管理器，找到你的ASP.NET站点，右键「编辑绑定」，确保HTTPS绑定已配置，且绑定的服务器SSL证书（注意是服务器端的，和客户端证书不是同一个）正常可用。
   • 进入站点的「SSL设置」：勾选「要求SSL」，然后在「客户端证书」下拉菜单选**「要求」**（测试阶段可以先选「接受」，正式场景选「要求」），记得点击「应用」保存。

2. 启用IIS客户端证书映射（如果需要用户映射）

   • 如果你需要把客户端证书映射到Windows用户或者自定义用户，得先安装对应的模块：打开服务器管理器→添加角色和功能→Web服务器（IIS）→Web服务器→安全，勾选「IIS客户端证书映射身份验证」完成安装。
   • 回到站点的「身份验证」面板，启用「IIS客户端证书映射身份验证」，点击「提供程序」→选择「启用映射」，然后根据需求添加规则：
     • 一对一映射：单个客户端证书对应一个Windows用户，适合少量测试用户；
     • 多对一映射：通过匹配证书的主题、颁发者等属性批量映射，适合批量用户场景。

三、ASP.NET应用层面的配置 #

• 在Web.config里确保启用身份验证并拒绝匿名访问，示例：

<system.web>
  <authentication mode="Windows" />
  <authorization>
    <deny users="?" /> <!-- 拒绝所有匿名访问 -->
  </authorization>
</system.web>

• 如果需要在代码里直接获取客户端证书信息，在Controller里可以这样写：

var clientCert = Request.ClientCertificate;
if (clientCert.IsPresent)
{
    // 获取证书主题、序列号等关键信息
    var certSubject = clientCert.Subject;
    var serialNumber = clientCert.SerialNumber;
    // 这里可以添加你的自定义验证逻辑
}

四、常见问题排查 #

• 403.7错误：这是最常见的问题，通常是客户端没发送证书，或者证书不被信任。解决办法：把自签名证书导入到客户端机器的「受信任的根证书颁发机构」存储里，同时确认客户端证书安装在当前访问用户的「个人」存储中。
• ASP.NET无法获取证书：检查站点SSL设置里的客户端证书选项是不是被设成了「忽略」，同时确保Web.config里没有禁用证书获取的配置。
• 证书不被IIS识别：再次确认生成证书时添加了客户端认证的EKU，证书的「预期目的」必须包含「客户端身份验证」。

内容的提问来源于stack exchange，提问作者J-J