Добрый день, может кто подскажет, а то гуглил гуглил....

Есть IIS 8, есть веб-сервис. Есть сертификат ЦА, сертификат для IIS от ЦА, сертификат клиента от ЦА.
В IIS настроено что требовать сертификаты.
Вообщем эта часть работает, но теперь охото что бы пускало не все клиентские сертификаты от ЦА, а только определенные.

Пытался в IIS в config добавить iisClientCertificateMappingAuthentication в части oneToOneMappings в части указать только те сертификаты, которые я хочу пускать, но возникла проблема если в Authentication стоит Anonymous Authentication то на настройке в iisClientCertificateMappingAuthentication всеравно.

Если же все отключить в Authentication, то плохие сертификаты отбраковываются с 401 ошибкой, что норм, а вот хороший на хороший ругается мол
Security settings for this service require 'Anonymous' Authentication but it is not enabled for the IIS application that hosts this service

Какую привязку использовать или что в конфиге приложения изменить чтобы все стало гуд?)))