Почему для работы функции имперсонации пользователь должен войти в систему?

Я нашел проблему и решение.

Проблема:

Веб-сервис использует сертификат X509Certificate2. Конструкторы класса X509Certificate2 пытаются импортировать сертификат в профиль пользователя учетной записи, в которой работает приложение. Зачастую приложения ASP.NET и COM+ олицетворяют клиентов. Когда они это делают, они не загружают профили пользователей для олицетворенного пользователя из соображений производительности. Поэтому они не могут получить доступ к хранилищу сертификатов "User" для олицетворенного пользователя.

Тот же код будет работать при запуске из интерактивного приложения или службы Windows, работающей под учетной записью пользователя, поскольку профиль загружается при входе пользователя в систему или запуске службы.

Решение:

1. Администратор на машине, где запущено приложение ASP.NET/COM+, должен установить сертификат в хранилище сертификатов машины, называемом хранилищем "Local Computer". Это следует сделать при установке приложения ASP.NET/COM+.

2. Администратор должен установить разрешения на закрытый ключ, связанный с сертификатом, чтобы предоставить процессу ASP.NET и олицетворяющим его пользователям доступ к ключу. Это необходимо, поскольку только учетная запись пользователя, устанавливающая сертификат или закрытый ключ в хранилище "Local Computer", может впоследствии использовать закрытый ключ RSA, связанный с сертификатом. Используйте WinHttpCertCfg.exe, доступный в Windows Resource Kit Tools (http://msdn2.microsoft.com/en-us/library/aa384088.aspx(http://msdn2.microsoft.com/en-us/library/aa384088.aspx) ) для настройки разрешений.

3. Код приложения ASP.NET/COM+ должен использовать установленный сертификат, а не пытаться установить его из файла PFX. Код должен найти установленный сертификат с помощью класса X509Store.

Видетьhttp://support.microsoft.com/kb/948154Чтобы получить больше информации.