如何在IIS上配置网站的证书?

如何在IIS上配置网站的证书?

在 IIS（Internet Information Services）上配置网站证书，核心步骤是：导入证书到 Windows 证书存储 → 在站点绑定中关联证书 → 验证 HTTPS 访问。整个过程不涉及代码修改，全部通过 IIS 管理器图形界面或 PowerShell 完成。

具体操作如下：

• 准备证书文件：确保已获取完整的证书链文件，包括站点证书（.cer 或 .pfx）、私钥（若为 .pfx 则已内含）及中间证书（推荐合并进 .pfx，否则需手动安装中间 CA）。
• 导入证书：打开 服务器管理器 → 工具 → 证书，右键「个人 → 证书」→ 「所有任务 → 导入」，选择 .pfx 文件并输入密码；若只有 .cer + 私钥（如 OpenSSL 生成），需先用 certutil -importPFX 或第三方工具合成有效 PFX。
• 绑定 HTTPS：在 IIS 管理器中，右键目标站点 → 「编辑绑定」→ 点击「添加」→ 类型选 https，IP 地址按需选择（通常「全部未分配」），端口默认 443，SSL 证书下拉框中选择刚导入的证书（名称与域名匹配且状态为“此证书未过期”）。
• 验证与加固：访问 https://yourdomain.com 检查是否显示锁形图标；建议启用 HSTS（通过 HTTP 响应头 Strict-Transport-Security），并在 IIS 中配置重定向规则，将 HTTP 请求 301 重定向至 HTTPS。

需要注意的情况

• IIS 仅支持绑定到「个人」证书存储中的证书；若证书导入到「本地计算机 → 中间证书颁发机构」等位置，不会出现在绑定下拉列表中。
• 使用 免费ssl证书（如 Let’s Encrypt）时，推荐搭配 ssl证书工具 自动化部署（如 win-acme），避免手动续期遗漏导致服务中断。
• 若网站使用通配符证书（*.example.com）或 SAN 多域名证书，需确保所绑定的主机名完全匹配证书 Subject Alternative Name 字段，否则浏览器会触发 NET::ERR_CERT_COMMON_NAME_INVALID。
• Windows Server 2012 R2 及以上版本支持 SNI（Server Name Indication），允许多个 HTTPS 站点共用同一 IP 和 443 端口；旧版本（如 2008 R2）不支持 SNI，必须为每个证书分配独立 IP。