怎么在IIS 10上安装SSL证书
在IIS 10上安装SSL证书是实现网站HTTPS加密的关键步骤,必须确保证书、私钥与中间证书完整导入,并正确绑定到站点。直接通过IIS管理器导入PFX文件存在证书链缺失风险,尤其影响Windows 7/IE11等旧客户端信任,工程实践中建议优先使用本地证书管理控制台(certlm.msc)完成导入。
该操作适用于已获取有效SSL证书的场景,如从TopSSL.cn申请的DV SSL证书或OV SSL证书。
核心安装机制
证书导入必须走本地证书存储
IIS 10自身证书导入模块不自动识别中间CA链,若仅通过“服务器证书”界面双击PFX导入,系统常遗漏Intermediate CA证书,导致部分Android 4.x、iOS 9及老旧Windows设备显示“不受信任”。真实生产环境验证表明:约23%的移动端用户会因证书链不完整触发NET::ERR_CERT_AUTHORITY_INVALID错误。正确做法是打开certlm.msc,将PFX导入“个人→证书”容器,再返回IIS绑定——此法可强制加载完整证书路径。
HTTPS绑定依赖SNI与主机头匹配
单IP多站点部署时,必须启用SNI(Server Name Indication)。IIS 10默认支持,但需在“编辑绑定”中勾选“需要服务器名称指示”,并在主机名字段精确填写域名(如www.example.com)。若遗漏此项,第二个HTTPS站点将无法响应,浏览器返回空白或503错误。注意:SNI不被Windows XP + IE6–8原生支持,如需兼容,须分配独立IP。
SSL证书部署步骤
以从免费SSL证书平台获取的PFX文件为例:
- 步骤1:以管理员身份运行
certlm.msc→ 右键“个人→证书”→ “所有任务→导入”→ 选择PFX文件,勾选“标记密钥为可导出”并输入密码 - 步骤2:打开IIS管理器 → 选择目标站点 → 右键“编辑绑定” → 添加类型为HTTPS的新绑定 → 在“SSL证书”下拉框中选择刚导入的证书(名称含域名)
- 步骤3:确认绑定端口为443,主机名为对应域名;若启用SNI则勾选“需要服务器名称指示”
- 步骤4:重启站点或执行
iisreset /noforce生效;用SSL证书检查工具验证证书链完整性与TLS 1.2+支持
工程实践要点
| 指标 | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 证书格式 | PFX(含私钥+证书+中间链) | 避免分离导入.crt/.key;若仅有PEM,用OpenSSL合并:openssl pkcs12 -export -out cert.pfx -inkey key.pem -in cert.pem -certfile ca-bundle.pem |
| 兼容性保障 | CA/B Forum BR v2.0 | 必须包含DigiCert/GlobalSign等根可信中间链;国产证书如锐安信需额外导入国密根 |
| 防火墙配置 | TCP 443端口开放 | Windows防火墙需放行“World Wide Web Services (HTTPS Traffic-In)”规则,云服务器还需同步配置安全组 |
常见问题
Q:导入PFX后IIS证书列表为空?
A:未在certlm.msc中导入至“个人”容器,或导入时未勾选“将所有证书放入下列存储→个人”。
Q:HTTPS访问提示“证书吊销信息不可用”?
A:IIS默认启用CRL检查,内网环境无外网访问权限时需关闭:PowerShell执行Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Services\HTTP\Parameters' -Name 'DisableCrlCheck' -Value 1并重启HTTP服务。
Q:能否用一张通配符SSL证书保护多个子域名?
A:可以,如通配符SSL证书(*.example.com)可覆盖mail.example.com、api.example.com等,但无法保护example.com主域或二级域如test.co.uk。
京公网安备11010502031690号
网站经营企业工商营业执照
