一、生成CSR证书请求文件
在IIS7中生成SSL证书前,需先创建证书签名请求(CSR)。打开IIS管理器,选择服务器证书功能,点击右侧“创建证书申请”按钮。填写证书请求信息,包括通用名称(域名)、组织名称、地理位置等,密钥位长建议选择2048位以确保安全性。完成后系统会生成.csr文件,该文件需提交至证书颁发机构(CA)进行审核签发。
二、申请并获取SSL证书
将生成的CSR文件提交至CA(如GDCA、沃通等),完成域名所有权验证后,CA会颁发包含服务器证书(.cer或.crt)、根证书和中间证书的压缩包。部分CA会直接提供PFX格式证书,包含私钥和证书链,可直接用于IIS部署。
三、导入证书到IIS服务器
通过以下步骤导入证书:
- 打开IIS管理器,进入“服务器证书”界面,点击“完成证书申请”;
- 选择CA颁发的证书文件(如.pfx或.cer),输入私钥密码(如有);
- 为证书命名(建议使用域名),点击确定完成导入。
若使用PFX证书,可通过MMC控制台的证书管理单元导入至“个人”存储区,确保勾选“允许导出私钥”选项。
四、绑定网站与HTTPS配置
在IIS管理器中选中目标网站,点击右侧“绑定”选项:
- 添加新绑定,类型选择“https”;
- 端口默认443,SSL证书选择已导入的证书名称;
- 保存配置后重启IIS服务使设置生效。
若需强制HTTP跳转HTTPS,可通过URL重写模块添加规则。
五、验证SSL证书有效性
完成部署后,通过浏览器访问https://域名,检查地址栏是否显示安全锁标志。使用SSL检测工具(如SSL Labs)验证证书链完整性、协议兼容性及加密强度。若出现证书错误,需检查证书绑定是否正确、端口是否开放或中间证书是否缺失。
结论:在IIS7中部署SSL证书需依次完成CSR生成、证书申请、导入及绑定操作,并确保服务器防火墙允许443端口通信。通过标准化流程和严格验证,可快速实现网站HTTPS加密。
