用户在IIS  10上安装SSL证书主要分为两种场景:一种是在新服务器上安装从CA机构申请的新证书,另一种是从旧服务器迁移已有的证书。前者需要先完成证书请求(CSR),后者则需要导出/导入包含私钥的PFX文件。

下面是针对这两种情况的具体操作流程我说一下。

一、场景一:安装全新的SSL证书(从CSR到证书)

如果你是在这台服务器上生成的CSR,并拿到了CA签发的证书文件(通常是  `.crt`  或  `.cer`  格式),请按照以下步骤操作。

第一步:安装中间证书(可选但强烈推荐)

虽然IIS在绑定证书时可能会自动下载并安装中间证书,但为了确保所有浏览器(尤其是移动端浏览器)都能完整验证证书链,建议提前手动安装。

1.    从你的CA机构官网下载对应的中间证书(Intermediate  Certificate)。

2.    打开“运行”框(`Win  +  R`),输入  `mmc`  并回车,打开微软管理控制台。

3.    点击  `文件`  ->  `添加/删除管理单元`,在左侧选择`证书`,点击`添加`。

4.    选择`计算机帐户`,点击`下一步`  ->  `完成`  ->  `确定`。

5.    在左侧控制台树中,展开`证书(本地计算机)`  ->  `中间证书颁发机构`,右键点击`证书`文件夹,选择`所有任务`  ->  `导入`。

6.    按照向导导入你下载的中间证书文件即可。

第二步:导入服务器证书

1.    打开  IIS管理器。可以在“运行”框输入  `inetmgr`  快速打开。

2.    在左侧连接窗格中,点击你的服务器名称。

3.    在中间IIS区域,双击服务器证书图标。

4.    在右侧操作窗格中,点击完成证书请求…。

5.    在弹出的窗口中:

        文件名:点击浏览按钮,选择你的CA签发的证书文件(可能需要将文件扩展名改为  `.cer`  或在浏览窗口选择“所有文件(`*.*`)”才能看到  `.crt`  文件)。

        好记名称:给你的证书起一个容易识别的名字,例如  `www.yourdomain.com_2026`。这个名字仅用于在IIS中区分证书。

        证书存储:在下拉菜单中选择`个人`或`Web主机`,通常选择`个人`即可。

6.    点击`确定`。成功后,你就能在服务器证书列表中看到刚刚导入的证书了。

第三步:将证书绑定到网站

1.    在IIS管理器左侧连接窗格中,展开`站点`文件夹。

2.    选中你要配置HTTPS的网站。

3.    在右侧操作窗格中,点击绑定…。

4.    在弹出的网站绑定窗口中,点击添加。

5.    在添加网站绑定窗口中,配置以下信息:

        类型:选择  `https`。

        IP地址:通常保持默认的`全部未分配`即可。如果你的服务器有多个IP且需要指定,可以在此选择。

        端口:默认的SSL端口是  `443`。

        SSL证书:在下拉列表中,选择你刚才导入的证书(根据你设置的好记名称来识别)。

6.    点击`确定`,然后关闭绑定窗口。你的网站现在应该可以通过  `https://`  访问了。

二、场景二:从其他服务器迁移/导入已有的证书

如果你需要在新的IIS  10服务器上使用已经在另一台服务器上部署的证书,你需要用到包含私钥的  `.pfx`  文件。

第一步:从旧服务器导出带私钥的证书

1.    在旧服务器上,打开“运行”框,输入  `mmc`,并按照上述场景一的第一步中的方法,添加`证书(本地计算机)`管理单元。

2.    在左侧控制台树中,展开`证书(本地计算机)`  ->  `个人`(或`Web主机`),点击`证书`文件夹。

3.    在中间窗格中找到你要导出的证书,右键点击它,选择`所有任务`  ->  `导出…`。

4.    在证书导出向导中:

        点击`下一步`。

        选择`是,导出私钥`。

        在导出文件格式页面,确保选中`个人信息交换  –  PKCS  #12  (.PFX)`,并勾选如果可能,则包括证书路径中的所有证书。

        在安全页面,设置一个密码来保护这个PFX文件。这个密码在导入时会用到,务必牢记。

        指定一个文件名和位置,完成导出。

第二步:在新服务器上导入PFX证书

1.    将导出的  `.pfx`  文件复制到新服务器上。

2.    在新服务器上,按照**场景一的第一步**的方法,打开`证书(本地计算机)`管理单元。

3.    在左侧控制台树中,右键点击`个人`(或`Web主机`)文件夹,选择`所有任务`  ->  `导入…`。

4.    在证书导入向导中:

        点击`下一步`。

        浏览并选择你的  `.pfx`  文件(浏览窗口的文件类型需要选择“所有文件(`*.*`)”)。

        在私钥保护页面,输入你之前设置的**密码**。同时,勾选标志此密钥为可导出的,以便将来再次备份。

        选择`将所有的证书放入下列存储`,并确保存储区是`个人`或`Web主机`。

5.    完成导入后,就可以按照场景一的第三步,在IIS管理器中将这个证书绑定到你的网站了。

补充提示

关于SNI(服务器名称指示):如果你需要在同一个IP和端口(443)上绑定多个不同的HTTPS网站,必须在绑定窗口勾选“需要服务器名称指示”,并在主机名一栏填写对应的域名(如  `www.site2.com`)。IIS  10完美支持SNI。

重启服务:完成绑定后,建议在IIS管理器右侧操作窗格中点击重新启动来完全应用配置。

如果在绑定后访问网站遇到问题,可以打开浏览器开发者工具(F12)查看网络请求,或者我知道具体的报错信息,我再帮用户分析。