以编程方式将证书导入 IIS？

Question

我有一个用于 SSL 的 .pem 证书，我想在 MSI 中将它与我的 Web 应用程序一起分发（必须在客户的计算机上运行）。然后我需要将它导入（到一些凭据存储中？）并告诉我的站点绑定使用它。但是我怎么能在代码中做到这一点？我发现了 Microsoft.Web.Administration，但不知道从那里去哪里……

顺便说一句，这是在 IIS7 中。

编辑：这里的目标是拥有一个客户可以在他们的 Intranet 上运行的 Web 应用程序。它主要充当 iPhone 应用程序的 API。 （也许这不是最好的设计，但我们现在被锁定了。）所以客户安装了 MSI，瞧，他们有一个网络服务。现在需要在 iPhone 和 Web 服务之间进行密码验证；最简单的方法似乎是在 https 中进行。所以我做了一个自签名证书。

我知道重新分发单个证书通常不是一个好主意，但我们只是想在这里击败临时黑客……这将仅限于 Intranet，并且仅限于企业，似乎不太可能有人会这样做做的事情太疯狂了，而且 API 严格限制了你可以对数据库做的坏事的数量。

所以我们开始了，目标是在 Intranet Web 应用程序上进行密码验证，一键安装。 :-D

Answer 1

亲爱的读者，答案是这样的：

// Assume 'site' is already set to your site via something like 
// Site site = mgr.Sites.Add(siteName, directory, 443);

X509Store store = new X509Store(StoreName.My, StoreLocation.LocalMachine);
store.Open(OpenFlags.OpenExistingOnly | OpenFlags.ReadWrite);

// Here, directory is my install dir, and (directory)\bin\certificate.pfx is where the cert file is.
// 1234 is the password to the certfile (exported from IIS)
X509Certificate2 certificate = new X509Certificate2(directory + @"\bin\certificate.pfx", "1234");

store.Add(certificate);

var binding = site.Bindings.Add("*:443:", certificate.GetCertHash(), store.Name);
binding.Protocol = "https";
store.Close();

感谢这个随机线程：http://forums.iis.net/t/1163325.aspx

Answer 2

您需要缩小问题范围。 （确切地）使用的证书是什么？

如果您的证书用于客户端身份验证（在服务器上对客户端进行身份验证），那么将其与您的应用程序一起分发会使此类身份验证毫无用处，因为您将泄露密钥。

如果您需要验证服务器的证书（并且您已经在 PEM 文件中获得了服务器的证书或证书链），那么这可以工作，但为什么需要将证书安装到证书存储？

您应该注意，Windows 或 .NET 库本身不支持 PEM 格式，因此您需要在部署之前将其转换为 PFX，然后导入 PFX 或仅基于 PFX 在内存中创建存储（您会发现通过在 StackOVerflow 上查找 PFX 或 PKCS#12 来获取大量信息）。

更新：每次安装应用程序时生成证书并让用户拥有自己的证书是一种更好的方法（例如，他们可能已经拥有其网站的有效证书）。