如何为IIS7/IIS8安装SSL证书？

如何为IIS7/IIS8安装SSL证书？

在 IIS 7 和 IIS 8 中安装 SSL 证书需通过「服务器证书」管理界面导入 PFX（含私钥）文件，再绑定到目标网站。该过程不支持直接导入 PEM 格式（需先转换），且要求 PFX 文件密码已知、私钥未被标记为“不可导出”。

操作路径为：IIS 管理器 → 左侧连接树选择服务器节点 → 双击「服务器证书」→ 右侧操作栏点击「导入…」→ 指定 PFX 文件路径与密码 → 完成后，在网站「绑定」中添加 HTTPS 类型绑定（端口 443，选择对应证书）。若证书链不完整，浏览器可能提示“证书不受信任”，此时需确保中间证书已部署至服务器的「中间证书颁发机构」证书存储区（可通过 certlm.msc 手动导入）。

IIS 7.5+ 默认启用 SNI（Server Name Indication），允许多个 HTTPS 网站共用同一 IP 地址和端口，但需客户端支持 TLS 1.0+ 且发送 SNI 扩展（IE 7+ on Vista+、Chrome 6+、Firefox 2+ 均支持）。若需兼容 Windows XP + IE6/IE8（无 SNI 支持），则每个 HTTPS 网站必须独占一个 IPv4 地址。

需要注意的情况

• 私钥权限问题：IIS 进程（如 IIS_IUSRS 或 NETWORK SERVICE）需对私钥有读取权限，否则启动 HTTPS 绑定时会报错 0x80070005；可通过 certutil -user -store My 查看证书属性中的「增强型密钥用法」是否包含“服务器身份验证”（OID 1.3.6.1.5.5.7.3.1）。
• PFX 密码遗忘或私钥不可导出：无法在 IIS 中导入，需重新从原始 CSR 签发环境导出新 PFX，或联系证书颁发机构（如 Sectigo、DigiCert）补发。
• 国密 SSL证书（SM2）不被 IIS 原生支持：IIS 7/8 缺乏 SM2 加密套件与证书解析能力，需借助第三方国密中间件（如华测国密CA 提供的适配模块）或升级至支持国密的 Web 服务器（如 Nginx + OpenSSL 3.0 国密引擎）。