在 Windows Web 服务器上使用公共证书运行/配置自托管控制台应用程序（ASP.net core 2.1、Kestrel）时出现问题

我过去开发过各种使用 https 进行生产的 Web 服务（VB ASP.net Web-API 应用程序）。 我已经使用 http 完成了开发，然后在生产服务器上设置了 https。要在生产服务器上为 https 和证书设置端口，我有：

1. 在证书存储中导入公共证书 Windows 服务器使用 netsh 配置了 https 的特定端口。 例如：

netsh http 添加 urlacl url=https://+:22224/用户=所有人

2. 将证书（通过指纹）绑定到端口。例如：

netsh http 添加 sslcert ipport=0.0.0.0:22224 certhash=31cf73308a768100d4d32fe6e77638593e68ab57 appid={a33a711f-c587-44e5-96bc-dca8a7f3fc3c}

3. 设置应用程序来监听特定端口，我有 在启动时从配置文件读取 url - 例如https://IP:端口并应用了 它到 (vb.net) HttpSelfHostConfiguration()

这工作没有问题，我可以根据需要配置应用程序（例如，在配置文件中为 http 配置一个端口以在 Intranet 服务器上进行测试，在配置文件中为生产环境配置 https 的另一个端口）。

现在，我想对一个做同样的事情ASP.NET核心2.1.6应用程序和它似乎不以同样的方式工作。
公共证书 (comodo) 安装在 Windows Web 服务器的证书存储中。
端口 22224 使用 netsh 配置为 https。
使用 netsh 将证书绑定到端口（使用 netsh http show sslcert ipport=0.0.0.0:22224 显示证书正确
In 程序.cs，我添加要使用 UseUrls 监听的端口：

 public static IWebHostBuilder CreateWebHostBuilder(string[] args) =>
            WebHost.CreateDefaultBuilder(args)
            .UseStartup<Startup>() //;
            .UseUrls(GV.cURL, "http://localhost:5000"); 
    }

其中 GV.curl 包含https://IP:22224在运行时

如果我将应用程序配置为http-端口（例如http://IP:22222).
如果我设置（配置的）https 端口（https://IP:22224），应用程序无法启动并给出错误消息：
无法配置 HTTPS 端点。未指定服务器证书，并且找不到默认的开发者证书。

我在网上发现的信息令人困惑，似乎这个主题是一个“移动目标”（通常在 ASP.NET Core X-X 的基本处理中发生变化）。
我现在的发现：
被剪断的“未指定服务器证书” 错误消息中表示该证书必须在应用程序中配置吗？

我已经发现一个例子使用 .useKestrel 选项在 CreateWebHostBuilder 中指定证书：

.UseKestrel(options =>
        {
            options.Listen(IPAddress.Loopback, 5000);
            options.Listen(IPAddress.Loopback, 5001, listenOptions =>
            {
                listenOptions.UseHttps("certificate.pfx", "topsecret");
            });

注意：就我而言，我必须将 5001 更改为 22224。

问题：

• 我真的必须配置（已经绑定到端口的）公共吗 证书也在asp.net core 2.1应用程序中？

• 如果是，最好的方法是什么（上面的例子是一个好方法吗）？

经过多次尝试和错误，我找到了适合我的相关信息。
注：我与ASP.NET核心2.1.6现在（如果您使用旧版本，这可能不适合您......

You 不需要使用 netsh 进行任何配置，但您必须配置证书（包括密码）。
您还不需要更改program.cs...
配置可以完全在appsettings.json（包含在项目根目录中）
所以......在项目中（在我的机器上调试），我使用默认的appsettings.json（使用http）：

{
  "Logging": {
    "LogLevel": {
      "Default": "Warning"
    }
  },
  "AllowedHosts": "*"
}

On the intranet服务器，我使用另一个appsettings.json（仍然使用http）：

{
  "Logging": {
    "LogLevel": {
      "Default": "Warning"
    }
  },
  "AllowedHosts": "*"
,
    "Kestrel": {
      "EndPoints": {
        "Http1": { "Url": "http://localhost:5000" },
        "Http2": { "Url": "http://172.16.1.120:22222" }
        }
      }
    }

这样，应用程序可以通过内网服务器的IP地址在局域网中进行测试，也可以直接在内网服务器（localhost端口5000）上进行测试。

On the internet服务器，我使用另一个 appsettings.json （对于带有 http 的 localhost，对于带有 https 和证书的服务器 IP):

{
  "Logging": {
    "LogLevel": {
      "Default": "Warning"
    }
  },
  "AllowedHosts": "*"
,
    "Kestrel": {
        "EndPoints": {
            "Http": {
                "Url": "http://localhost:5000"
            },
            "HttpsInlineCertFile": {
                "Url": "https://192.168.3.3:22224",
                "Certificate": {
                    "Path": "./certificate.pfx",
                    "Password": "NotReally",
                    "AllowInvalid": "true"
                }
            }
        }
    }
}

这样，应用程序可以直接在内联网服务器上使用 http 进行测试，并通过互联网使用 https 和证书进行测试。

处理：

• 在服务器上，我有一个应用程序的根目录。
• 直接在根目录下，我存储了“每台机器”不同文件的副本（包括 appsettings.json）
• 要发布新版本，我在我的开发计算机上发布，然后将 \publish\ 目录复制到服务器（根目录下）并覆盖存储的文件。
• 为了获得正确的配置，我创建了一个简单的.cmd，它从我在新发布后运行的子目录 \publish\ 的根目录复制（特定于服务器的）配置文件...

https 和证书的注释：

• 证书必须存储在 \publish\ 文件夹中。
• 由于（我的）公共 contoso 证书确实保护了一些域，因此只有在通过域调用应用程序时，https 才能正常工作（否则，会显示“不安全”消息）。
• 为了能够使用 https 测试应用程序，我在 Windows 和“真正的”防火墙上打开了端口 22224。
• DNS 指向我们互联网服务器的公共 IP。
  为了进行测试，我使用以下命令调用该应用程序https://www.Domain.xx:22224

而且...它有效...