C# Kestrel配置HTTPS方法 C#如何为Kestrel配置SSL证书

为什么 Kestrel 启动 HTTPS 时提示“Unable to configure HTTPS endpoint”

根本原因通常是证书缺失、路径错误或权限不足。Kestrel 不会自动加载系统证书存储，必须显式提供

pfx

pem

"./cert.pfx"

常见错误现象包括：

System.IO.FileNotFoundException: Could not find file '.../cert.pfx'

System.Security.Cryptography.CryptographicException: The specified network password is not correct

AllowEmptyPassword = true

在 Program.cs 中配置 Kestrel HTTPS 端点（.NET 6+）

推荐在

WebApplicationBuilder

WebHost.CreateDefaultBuilder

builder.WebHost.ConfigureKestrel

实操建议：

AppContext.BaseDirectory

Path.Combine(AppContext.BaseDirectory, "cert.pfx")

HttpsOptions.SslProtocols

httpsOptions.ClientCertificateMode = ClientCertificateMode.NoCertificate;

示例片段：

builder.WebHost.ConfigureKestrel(serverOptions =>
{
    serverOptions.ListenAnyIP(5001, listenOptions =>
    {
        listenOptions.UseHttps("cert.pfx", "password123");
        listenOptions.Protocols = HttpProtocols.Http1AndHttp2;
    });
});

用 appsettings.json 配置 Kestrel HTTPS（适合部署切换）

比硬编码更灵活，尤其适用于多环境部署。但要注意：JSON 中不能直接存二进制证书，只能指向磁盘文件路径；且

password

关键配置项：

Kestrel:Endpoints:Https:Url

https://*:5001

http

Kestrel:Endpoints:Https:Certificate:Path

AppContext.BaseDirectory

Kestrel:Endpoints:Https:Certificate:Password

AllowEmptyPassword = true

对应 JSON 片段：

"Kestrel": {
  "Endpoints": {
    "Https": {
      "Url": "https://*:5001",
      "Certificate": {
        "Path": "cert.pfx",
        "Password": "password123"
      }
    }
  }
}

开发时快速生成并信任自签名证书（dotnet dev-certs）

别手动 openssl，.NET SDK 自带工具足够用，且能自动导入到当前用户根信任库（Windows/macOS）。

操作步骤：

dotnet dev-certs https -v

dotnet dev-certs https --trust

dotnet dev-certs https --clean

%USERPROFILE%\AppData\Roaming\ASP.NET\Https\

~/.aspnet/https/

MyApp.pfx

注意：该证书仅限 localhost，浏览器访问

https://localhost:5001

--ephemeral

openssl