本文共 484 字，大约阅读时间需要 1 分钟。

在项目中使用X509数字证书加密数据时，我遇到了一个需要通过命令行工具makecert生成证书的问题。在本地环境下能够正常使用，但在IIS服务器上读取不到证书。经过仔细排查，问题主要出现在证书存储位置和访问权限设置上。

首先，将makecert的-sr参数设置为localmachine，确保生成的证书存储在本地计算机中，而不是当前用户的个人存储区。然后，在代码中初始化X509Store时，指定StoreLocation.LocalMachine以读取本地存储的证书。

其次，确保IIS服务有权限访问本地计算机的证书存储区。通过在控制面板中添加IIS_IUSRS用户到证书存储区的访问控制列表，允许IIS服务以该用户身份访问证书。这样，在IIS服务器上就能正常读取生成的X509证书了。为了调试方便，可以将访问权限设置为Everyone，但在生产环境中最好仅授予IIS_IUSRS权限以提高安全性。

总结来说，解决问题的关键在于正确配置证书存储位置和确保IIS服务有相应的访问权限。这次经历让我对X509证书的工作原理有了更深入的理解，也提升了我的技术解决问题能力。

转载地址：http://lwmyz.baihongyu.com/