IIS：配置 Web 应用程序以使用客户端证书进行身份验证

我们的目标是在 IIS 上托管 ASP.NET Core 9.0 网站并使用客户端证书进行身份验证。 ASP.NET Core Web 应用程序运行良好：直接从 Kestrel 运行时，一切都按预期运行，即提示用户选择将用于对其进行身份验证的有效证书。

文档说IIS配置仅限于3个步骤：

1. 从连接选项卡中选择站点
2. 双击 SSL 设置选项
3. 单击需要 SSL 复选框，然后在客户端证书部分中选择需要单选按钮

不幸的是，它不起作用。我们已经激活了失败请求跟踪，并且通过该配置，ASP.NET Core 模块将始终以请求不受支持错误终止请求：

请注意，最终用户总是会看到 500 错误页面，甚至没有机会选择用于身份验证的证书。

因此，为了简化思考，我们决定从等式中删除 aspnet core 应用程序，并建立一个简单的站点，其中包含一个 index.html 页面，看看是否至少可以对其进行配置，以便浏览器让用户选择证书。

我们仅在网站上激活了 https 绑定：

并且还更改了默认的 SSL 设置：

我们还激活了失败请求跟踪，以便获取有关正在发生的事情的更多信息。此初始配置最终出现了传统的 500 错误：

以下是失败请求跟踪文件的输出：

经过进一步挖掘，我们还找到了这篇文章。我们再次更新了我们的 web.config，使其看起来像这样（我们必须在根级别解锁身份验证子部分）：

<security>
  <authentication>
    <anonymousAuthentication enabled="false" />
    <iisClientCertificateMappingAuthentication enabled="true" />
  </authentication>
</security>

结果仍然相同。因此，我们继续添加从证书到现有用户的映射（我们使用 IIS 管理器来确保一切正确）：

<security>
    <authentication>
        <anonymousAuthentication enabled="false" />
        <windowsAuthentication enabled="false" />
        <iisClientCertificateMappingAuthentication enabled="true">
            <oneToOneMappings>
                <add userName="XXX" 
                     password="[enc:IISCngProvider:wX....]" 
                     certificate="MIIFTDCCBDSgAwIBAgITdQAAEJsn8Q3PLgZ4iwAAAAAQm..." />
            </oneToOneMappings>
        </iisClientCertificateMappingAuthentication>
    </authentication>
</security>

再次，仍然不起作用（即，用户永远无法选择证书）。经过进一步挖掘，我们发现一些帖子说必须启用 Windows 身份验证才能使其工作。所以我们激活了它：

<windowsAuthentication enabled="true" />

但是不行，还是不行。加载页面时我根本没有机会选择证书。

那么，有人可以向我指出有效的文档，该文档显示如何配置 IIS 以要求客户端在导航到网站时出示证书吗？