IIS 10环境下SSL证书的安装全流程

用户在IIS  10上安装SSL证书主要分为两种场景：一种是在新服务器上安装从CA机构申请的新证书，另一种是从旧服务器迁移已有的证书。前者需要先完成证书请求（CSR），后者则需要导出/导入包含私钥的PFX文件。

下面是针对这两种情况的具体操作流程我说一下。

一、场景一：安装全新的SSL证书（从CSR到证书）

如果你是在这台服务器上生成的CSR，并拿到了CA签发的证书文件（通常是  `.crt`  或  `.cer`  格式），请按照以下步骤操作。

第一步：安装中间证书（可选但强烈推荐）

虽然IIS在绑定证书时可能会自动下载并安装中间证书，但为了确保所有浏览器（尤其是移动端浏览器）都能完整验证证书链，建议提前手动安装。

1.    从你的CA机构官网下载对应的中间证书（Intermediate  Certificate）。

2.    打开“运行”框（`Win  +  R`），输入  `mmc`  并回车，打开微软管理控制台。

3.    点击  `文件`  ->  `添加/删除管理单元`，在左侧选择`证书`，点击`添加`。

4.    选择`计算机帐户`，点击`下一步`  ->  `完成`  ->  `确定`。

5.    在左侧控制台树中，展开`证书（本地计算机）`  ->  `中间证书颁发机构`，右键点击`证书`文件夹，选择`所有任务`  ->  `导入`。

6.    按照向导导入你下载的中间证书文件即可。

第二步：导入服务器证书

1.    打开  IIS管理器。可以在“运行”框输入  `inetmgr`  快速打开。

2.    在左侧连接窗格中，点击你的服务器名称。

3.    在中间IIS区域，双击服务器证书图标。

4.    在右侧操作窗格中，点击完成证书请求…。

5.    在弹出的窗口中：

        文件名：点击浏览按钮，选择你的CA签发的证书文件（可能需要将文件扩展名改为  `.cer`  或在浏览窗口选择“所有文件（`*.*`）”才能看到  `.crt`  文件）。

        好记名称：给你的证书起一个容易识别的名字，例如  `www.yourdomain.com_2026`。这个名字仅用于在IIS中区分证书。

        证书存储：在下拉菜单中选择`个人`或`Web主机`，通常选择`个人`即可。

6.    点击`确定`。成功后，你就能在服务器证书列表中看到刚刚导入的证书了。

第三步：将证书绑定到网站

1.    在IIS管理器左侧连接窗格中，展开`站点`文件夹。

2.    选中你要配置HTTPS的网站。

3.    在右侧操作窗格中，点击绑定…。

4.    在弹出的网站绑定窗口中，点击添加。

5.    在添加网站绑定窗口中，配置以下信息：

        类型：选择  `https`。

        IP地址：通常保持默认的`全部未分配`即可。如果你的服务器有多个IP且需要指定，可以在此选择。

        端口：默认的SSL端口是  `443`。

        SSL证书：在下拉列表中，选择你刚才导入的证书（根据你设置的好记名称来识别）。

6.    点击`确定`，然后关闭绑定窗口。你的网站现在应该可以通过  `https://`  访问了。

二、场景二：从其他服务器迁移/导入已有的证书

如果你需要在新的IIS  10服务器上使用已经在另一台服务器上部署的证书，你需要用到包含私钥的  `.pfx`  文件。

第一步：从旧服务器导出带私钥的证书

1.    在旧服务器上，打开“运行”框，输入  `mmc`，并按照上述场景一的第一步中的方法，添加`证书（本地计算机）`管理单元。

2.    在左侧控制台树中，展开`证书（本地计算机）`  ->  `个人`（或`Web主机`），点击`证书`文件夹。

3.    在中间窗格中找到你要导出的证书，右键点击它，选择`所有任务`  ->  `导出…`。

4.    在证书导出向导中：

        点击`下一步`。

        选择`是，导出私钥`。

        在导出文件格式页面，确保选中`个人信息交换  –  PKCS  #12  (.PFX)`，并勾选如果可能，则包括证书路径中的所有证书。

        在安全页面，设置一个密码来保护这个PFX文件。这个密码在导入时会用到，务必牢记。

        指定一个文件名和位置，完成导出。

第二步：在新服务器上导入PFX证书

1.    将导出的  `.pfx`  文件复制到新服务器上。

2.    在新服务器上，按照**场景一的第一步**的方法，打开`证书（本地计算机）`管理单元。

3.    在左侧控制台树中，右键点击`个人`（或`Web主机`）文件夹，选择`所有任务`  ->  `导入…`。

4.    在证书导入向导中：

        点击`下一步`。

        浏览并选择你的  `.pfx`  文件（浏览窗口的文件类型需要选择“所有文件（`*.*`）”）。

        在私钥保护页面，输入你之前设置的**密码**。同时，勾选标志此密钥为可导出的，以便将来再次备份。

        选择`将所有的证书放入下列存储`，并确保存储区是`个人`或`Web主机`。

5.    完成导入后，就可以按照场景一的第三步，在IIS管理器中将这个证书绑定到你的网站了。

补充提示

关于SNI（服务器名称指示）：如果你需要在同一个IP和端口（443）上绑定多个不同的HTTPS网站，必须在绑定窗口勾选“需要服务器名称指示”，并在主机名一栏填写对应的域名（如  `www.site2.com`）。IIS  10完美支持SNI。

重启服务：完成绑定后，建议在IIS管理器右侧操作窗格中点击重新启动来完全应用配置。

如果在绑定后访问网站遇到问题，可以打开浏览器开发者工具（F12）查看网络请求，或者我知道具体的报错信息，我再帮用户分析。