×

IIS如何配置SSL证书?图文详解小白也能一次成功

分类:互联网热点 编辑:做网站 浏览量:123
2026-05-22 18:09:48
【导读】IIS如何配置SSL证书的本质,不是填一堆神秘参数,而是理清‘谁持有密钥’‘哪个站点要用它’‘用户进来时怎么自动切过来’这三个动作之间的关系。

IIS如何配置SSL证书?先看清前提条件
别急着点鼠标,这几件事必须提前确认:

- Windows Server 版本 ≥ 2012 R2(早期Server 2008 SP2已停止TLSv1.2支持);
- IIS管理器中能看到「服务器证书」功能模块(位于左侧连接树顶部);
- 获取的证书是.pfx/.p12格式(含私钥),而非单独.cer+.key组合——后者IIS无法直接识别;
- PFX文件密码记得牢,且不含特殊字符(某些老旧.NET Framework版本会对@#$等解析异常)。
如果用的是Let’s Encrypt免费证书,请务必通过win-acme或Certify The Web工具导出为带密码的PFX包,不要试图手动拼装。

第一步:把证书安全导入IIS服务器证书库
这是最容易翻车的一环。操作路径很直观:

打开IIS管理器 → 左侧点击服务器名 → 双击「服务器证书」;
右侧操作栏点「导入…」→ 浏览找到你的xxx.pfx文件;
输入创建PFX时设定的密码 → 「确定」。
✅ 正确表现:列表中立刻出现一行新纪录,显示发行者、有效期、友好名称(默认取CN值);
❌ 异常信号:提示“The password you entered is incorrect”或“No private key found”,说明PFX损坏或密码不对,勿反复尝试以免锁定账户。

第二步:将证书绑定到具体网站
这才是真正让HTTPS生效的动作:

- 在左侧网站列表右键目标站点 → «编辑绑定»;
- 点«添加»按钮 → 类型选https,IP地址建议保持“All Unassigned”,端口443不变;
- 关键一步:在「SSL证书」下拉菜单中,选择刚才导入成功的那一项;
- ✅ 务必勾选「需要服务器名称指示(SNI)」——除非你只为这台机器部署唯一一个HTTPS站点;
- 点确定保存后,回到站点主页刷新几次,应该就能看到浏览器锁图标亮起了。
SNI的作用非常实在:允许多个域名共用同一IP+443端口,现代浏览器全部支持,但部分老POS机、工业采集终端可能不兼容,若有此类设备访问需求,请关闭此项并独占IP资源。

第三步:让用户再也打不开HTTP页面
光开通HTTPS还不够,还得堵死明文入口:


    安装URL Rewrite模块(微软官方免费插件,搜索“IIS URL Rewrite Download”直达);
    在目标站点根目录新建web.config文件,插入如下规则:
    \n\n\n\n\n\n
    保存后再次访问 http://your-site.com,应自动301跳转至 https 地址。
    这条规则优于单纯监听80端口转发的方式,因为它发生在IIS管道最前端,性能损耗接近零。

    三个高频故障自查清单
    即使全程跟着做,也可能遇到诡异问题。请依次检查:

    - IE/Edge报错SEC_ERROR_UNKNOWN_ISSUER:多半是你用了自签名或测试CA证书,未同步导入到Windows“受信任的根证书颁发机构”仓库;
    - Chrome提示Your connection is not private且Details里写着“This certificate has an invalid extension.”:一般是PFX导出时包含了多余OID字段,换工具重新打包即可;
    - iOS Safari白屏或无限loading:检查是否遗漏了Intermediate CA证书链——应在生成PFX前先把中级证书合并进去,而不是指望客户端自己下载补齐。
    最后送一句经验之谈:比起折腾各种优化开关,不如花五分钟教会同事定期查看IIS日志中的sc-status=4xx/5xx占比变化,那是比任何仪表盘都真实的健康晴雨表。

声明:免责声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,也不承认相关法律责任。如果您发现本社区中有涉嫌抄袭的内容,请发

送邮件至:operations@xinnet.com进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。本站原创内容未经允许不得转载,或转载时

需注明出处:新网idc知识百科

免费咨询获取折扣

Loading