在IIS7上部署多个SSL证书的完整指南
一、准备SSL证书
部署前需确保每个SSL证书均为PFX格式,包含私钥和完整的证书链。若从CA机构获取的证书为CRT格式,需使用工具(如wosigncode.exe)将其与私钥文件合并转换为PFX格式。建议为每个证书设置唯一的友好名称,便于后续管理。
证书类型选择建议:
- 单域名证书:适用于独立站点
- 通配符证书:支持*.example.com格式
- 多域SAN证书:单个证书覆盖多个域名
二、导入证书到服务器
通过MMC控制台完成证书导入:
- 运行mmc.exe,添加证书管理单元
- 展开”证书(本地计算机) > 个人”节点
- 右键选择”所有任务 > 导入”
- 选择PFX文件并输入密码
导入完成后,需将证书友好名称设置为域名格式(如.domain.com),确保IIS能正确识别。
三、配置站点绑定
在IIS管理器中为每个站点创建HTTPS绑定:
- 右键目标站点选择”编辑绑定”
- 添加类型为https的新绑定
- 端口设置为443,选择对应IP地址
- 在SSL证书列表选择已导入的证书
对于需要命令行操作的情况,可使用appcmd工具批量配置绑定关系。
四、处理SNI兼容性
IIS7默认支持服务器名称指示(SNI),允许同一IP绑定多个SSL证书:
- 确保客户端浏览器支持SNI(IE7+、Chrome 6+)
- 在绑定设置中指定具体主机名
- 通过applicationHost.config文件验证绑定配置
五、验证证书安装
完成部署后需进行验证:
- 通过浏览器访问https站点检查证书信息
- 使用SSL检测工具验证证书链完整性
- 重启IIS服务使配置生效
建议使用Qualys SSL Labs等工具进行安全评级检测,确保所有证书正确加载且无协议冲突。
通过合理规划证书类型、正确导入证书文件、配置站点绑定及处理SNI兼容性,可在IIS7上实现多个SSL证书的并行部署。关键点在于确保每个证书的完整性和唯一绑定关系,同时注意客户端兼容性问题。
