iis 部署证书的方法

iis 部署证书的方法

在 IIS（Internet Information Services）中部署 SSL/TLS 证书，核心流程是：导入 PFX 格式证书文件 → 绑定到网站 → 验证 HTTPS 访问。该过程依赖 Windows 证书存储体系，不涉及私钥导出或手动配置密钥交换参数。

具体步骤如下：

• 准备证书文件：确保已获取含私钥的 .pfx（或 .p12）格式证书包，通常由 CA 签发后下载，或通过 ssl证书工具 合并证书链与私钥生成；.cer + .key 分离格式不可直接用于 IIS 导入。
• 导入证书到服务器：打开「管理工具」→「Internet Information Services (IIS) 管理器」→ 左侧连接树选择服务器节点 → 双击「服务器证书」→ 右侧「操作」栏点击「导入…」→ 浏览选择 PFX 文件，输入导出时设置的密码，确保存储位置为「本地计算机」，勾选「标记此密钥为可导出」（仅当需迁移或备份时启用，生产环境建议取消）。
• 绑定证书到网站：在左侧站点列表中选择目标网站 → 右侧「操作」→「绑定…」→ 点击「添加」→ 类型选 https，IP 地址按需选择（推荐指定 IP 或「全部未分配」），端口默认 443，SSL 证书下拉框中选择刚导入的证书名称（显示为域名或颁发者+有效期）→ 点击「确定」。
• 验证与调试：使用浏览器访问 https://your-domain.com，检查地址栏锁形图标及证书信息；若提示“不安全”或证书错误，可用 ssl证书工具 检查证书链完整性、域名匹配性及服务器是否发送完整中间证书（IIS 默认不自动补全，需在 PFX 中包含完整链）。

需要注意的情况

• IIS 7.5+ 支持 SNI（Server Name Indication），允许单 IP 多 HTTPS 站点共用不同证书；但 Windows Server 2008 R2 及更早版本的 IIS 不支持 SNI，多站点需独占 IP 或使用通配符证书。
• 若证书由 Let's Encrypt 等 ACME CA 签发，推荐使用 Lets Encrypt 官方客户端（如 win-acme）自动部署，避免手动导入过期风险；其签发的证书有效期仅 90 天，IIS 本身无自动续订机制。
• 国密算法（SM2/SM3/SM4）证书需 Windows Server 2022+ 与支持国密的 IIS 扩展（如 国密SSL证书 提供的适配模块），标准 IIS 原生不识别 SM2 证书。