IIS如何配置SSL證書?圖文詳解小白也能一次成功
分類:互聯(lián)網(wǎng)熱點(diǎn)
編輯:做網(wǎng)站
瀏覽量:123
2026-05-22 18:09:48
【導(dǎo)讀】IIS如何配置SSL證書的本質(zhì),不是填一堆神秘參數(shù),而是理清‘誰持有密鑰’‘哪個(gè)站點(diǎn)要用它’‘用戶進(jìn)來時(shí)怎么自動切過來’這三個(gè)動作之間的關(guān)系。
IIS如何配置SSL證書?先看清前提條件
別急著點(diǎn)鼠標(biāo),這幾件事必須提前確認(rèn):
- Windows Server 版本 ≥ 2012 R2(早期Server 2008 SP2已停止TLSv1.2支持);
- IIS管理器中能看到「服務(wù)器證書」功能模塊(位于左側(cè)連接樹頂部);
- 獲取的證書是.pfx/.p12格式(含私鑰),而非單獨(dú).cer+.key組合——后者IIS無法直接識別;
- PFX文件密碼記得牢,且不含特殊字符(某些老舊.NET Framework版本會對@#$等解析異常)。
如果用的是Let’s Encrypt免費(fèi)證書,請務(wù)必通過win-acme或Certify The Web工具導(dǎo)出為帶密碼的PFX包,不要試圖手動拼裝。
第一步:把證書安全導(dǎo)入IIS服務(wù)器證書庫
這是最容易翻車的一環(huán)。操作路徑很直觀:
打開IIS管理器 → 左側(cè)點(diǎn)擊服務(wù)器名 → 雙擊「服務(wù)器證書」;
右側(cè)操作欄點(diǎn)「導(dǎo)入…」→ 瀏覽找到你的xxx.pfx文件;
輸入創(chuàng)建PFX時(shí)設(shè)定的密碼 → 「確定」。
? 正確表現(xiàn):列表中立刻出現(xiàn)一行新紀(jì)錄,顯示發(fā)行者、有效期、友好名稱(默認(rèn)取CN值);
? 異常信號:提示“The password you entered is incorrect”或“No private key found”,說明PFX損壞或密碼不對,勿反復(fù)嘗試以免鎖定賬戶。
第二步:將證書綁定到具體網(wǎng)站
這才是真正讓HTTPS生效的動作:
- 在左側(cè)網(wǎng)站列表右鍵目標(biāo)站點(diǎn) → ?編輯綁定?;
- 點(diǎn)?添加?按鈕 → 類型選https,IP地址建議保持“All Unassigned”,端口443不變;
- 關(guān)鍵一步:在「SSL證書」下拉菜單中,選擇剛才導(dǎo)入成功的那一項(xiàng);
- ? 務(wù)必勾選「需要服務(wù)器名稱指示(SNI)」——除非你只為這臺機(jī)器部署唯一一個(gè)HTTPS站點(diǎn);
- 點(diǎn)確定保存后,回到站點(diǎn)主頁刷新幾次,應(yīng)該就能看到瀏覽器鎖圖標(biāo)亮起了。
SNI的作用非常實(shí)在:允許多個(gè)域名共用同一IP+443端口,現(xiàn)代瀏覽器全部支持,但部分老POS機(jī)、工業(yè)采集終端可能不兼容,若有此類設(shè)備訪問需求,請關(guān)閉此項(xiàng)并獨(dú)占IP資源。
第三步:讓用戶再也打不開HTTP頁面
光開通HTTPS還不夠,還得堵死明文入口:
IIS如何配置SSL證書?先看清前提條件
別急著點(diǎn)鼠標(biāo),這幾件事必須提前確認(rèn):
- Windows Server 版本 ≥ 2012 R2(早期Server 2008 SP2已停止TLSv1.2支持);
- IIS管理器中能看到「服務(wù)器證書」功能模塊(位于左側(cè)連接樹頂部);
- 獲取的證書是.pfx/.p12格式(含私鑰),而非單獨(dú).cer+.key組合——后者IIS無法直接識別;
- PFX文件密碼記得牢,且不含特殊字符(某些老舊.NET Framework版本會對@#$等解析異常)。
如果用的是Let’s Encrypt免費(fèi)證書,請務(wù)必通過win-acme或Certify The Web工具導(dǎo)出為帶密碼的PFX包,不要試圖手動拼裝。
第一步:把證書安全導(dǎo)入IIS服務(wù)器證書庫
這是最容易翻車的一環(huán)。操作路徑很直觀:
打開IIS管理器 → 左側(cè)點(diǎn)擊服務(wù)器名 → 雙擊「服務(wù)器證書」;
右側(cè)操作欄點(diǎn)「導(dǎo)入…」→ 瀏覽找到你的xxx.pfx文件;
輸入創(chuàng)建PFX時(shí)設(shè)定的密碼 → 「確定」。
? 正確表現(xiàn):列表中立刻出現(xiàn)一行新紀(jì)錄,顯示發(fā)行者、有效期、友好名稱(默認(rèn)取CN值);
? 異常信號:提示“The password you entered is incorrect”或“No private key found”,說明PFX損壞或密碼不對,勿反復(fù)嘗試以免鎖定賬戶。
第二步:將證書綁定到具體網(wǎng)站
這才是真正讓HTTPS生效的動作:
- 在左側(cè)網(wǎng)站列表右鍵目標(biāo)站點(diǎn) → ?編輯綁定?;
- 點(diǎn)?添加?按鈕 → 類型選https,IP地址建議保持“All Unassigned”,端口443不變;
- 關(guān)鍵一步:在「SSL證書」下拉菜單中,選擇剛才導(dǎo)入成功的那一項(xiàng);
- ? 務(wù)必勾選「需要服務(wù)器名稱指示(SNI)」——除非你只為這臺機(jī)器部署唯一一個(gè)HTTPS站點(diǎn);
- 點(diǎn)確定保存后,回到站點(diǎn)主頁刷新幾次,應(yīng)該就能看到瀏覽器鎖圖標(biāo)亮起了。
SNI的作用非常實(shí)在:允許多個(gè)域名共用同一IP+443端口,現(xiàn)代瀏覽器全部支持,但部分老POS機(jī)、工業(yè)采集終端可能不兼容,若有此類設(shè)備訪問需求,請關(guān)閉此項(xiàng)并獨(dú)占IP資源。
第三步:讓用戶再也打不開HTTP頁面
光開通HTTPS還不夠,還得堵死明文入口:
安裝URL Rewrite模塊(微軟官方免費(fèi)插件,搜索“IIS URL Rewrite Download”直達(dá));
在目標(biāo)站點(diǎn)根目錄新建web.config文件,插入如下規(guī)則:
\n\n\n\n\n\n
保存后再次訪問 http://your-site.com,應(yīng)自動301跳轉(zhuǎn)至 https 地址。
這條規(guī)則優(yōu)于單純監(jiān)聽80端口轉(zhuǎn)發(fā)的方式,因?yàn)樗l(fā)生在IIS管道最前端,性能損耗接近零。
三個(gè)高頻故障自查清單
即使全程跟著做,也可能遇到詭異問題。請依次檢查:
- IE/Edge報(bào)錯(cuò)SEC_ERROR_UNKNOWN_ISSUER:多半是你用了自簽名或測試CA證書,未同步導(dǎo)入到Windows“受信任的根證書頒發(fā)機(jī)構(gòu)”倉庫;
- Chrome提示Your connection is not private且Details里寫著“This certificate has an invalid extension.”:一般是PFX導(dǎo)出時(shí)包含了多余OID字段,換工具重新打包即可;
- iOS Safari白屏或無限loading:檢查是否遺漏了Intermediate CA證書鏈——應(yīng)在生成PFX前先把中級證書合并進(jìn)去,而不是指望客戶端自己下載補(bǔ)齊。
最后送一句經(jīng)驗(yàn)之談:比起折騰各種優(yōu)化開關(guān),不如花五分鐘教會同事定期查看IIS日志中的sc-status=4xx/5xx占比變化,那是比任何儀表盤都真實(shí)的健康晴雨表。
聲明:免責(zé)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn)自行上傳,本網(wǎng)站不擁有所有權(quán),也不承認(rèn)相關(guān)法律責(zé)任。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容,請發(fā)
送郵件至:[email protected]進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),本站將立刻刪除涉嫌侵權(quán)內(nèi)容。本站原創(chuàng)內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)
需注明出處:新網(wǎng)idc知識百科
