windows https 证书

windows https 证书

Windows 系统本身不直接“签发” HTTPS 证书，而是作为客户端（如 IE、Edge）和服务器端（如 IIS、Windows Server 中的 HTTP.SYS）参与 TLS 握手，并依赖其内置的**受信任根证书存储（Trusted Root Certification Authorities）** 来验证 HTTPS 网站所使用的 ssl证书 是否由可信 CA 签发。

在 Windows 上部署 HTTPS 服务时，常见场景包括：

• IIS 部署：需将已购或生成的 SSL/TLS 证书（含私钥的 PFX 文件）导入服务器本地计算机的“个人”证书存储，并在站点绑定中启用 HTTPS；证书链完整性依赖中间证书是否一并安装。
• 本地开发调试：可使用 免费ssl证书（如 Let’s Encrypt）或 Windows 自带的 MakeCert（已弃用）/ New-SelfSignedCertificate PowerShell 命令生成自签名证书，但后者会触发浏览器“您的连接不是私密连接”警告，仅适用于测试环境。
• 根证书信任管理：企业可通过组策略（GPO）批量部署私有 CA 根证书至域内所有 Windows 设备的受信任根存储，以支持内部 HTTPS 服务（如 ADFS、Exchange、内部 API）。

需要注意的情况

• Windows Server 2016 及更新版本默认信任 Let’s Encrypt 的 ISRG Root X1，但旧系统（如 Windows 7 SP1 / Server 2008 R2）需手动更新根证书存储或安装中间证书补丁，否则可能因证书链不完整导致 HTTPS 连接失败。
• 若使用国密算法 HTTPS（SM2/SM3/SM4），需确保 Windows 版本支持 CNG SM2 加密提供程序（Windows 10 20H1+ / Server 2022 起逐步完善），且证书必须由符合 GM/T 0015-2012 的 国密SSL证书 签发机构（如华测国密CA）签发。
• 从 2024 年起，主流浏览器（Chrome 120+、Edge 120+）已完全弃用对 Symantec 旧根证书的信任，而 Windows 系统未同步更新根存储时，可能导致部分旧 Geotrust 或 Thawte 证书在 IE/Edge 中显示不受信——建议优先选用 Sectigo、Digicert 或国内合规 CA（如 vTrus、沃通(WoTrus））签发的新证书。