一、生成证书请求文件(CSR)
在IIS管理器中生成证书请求文件(CSR)是获取第三方CA签发证书的必要步骤。操作流程如下:
- 打开IIS管理器,右键目标网站选择“编辑绑定和SSL设置”
- 添加HTTPS绑定后,返回主界面点击“服务器证书”选项
- 选择“创建证书请求”,填写组织信息与域名(公共名称必须与网站域名一致)
- 保存生成的CSR文件(如certreq.txt),用于提交至证书颁发机构
二、创建自签名证书
对于测试环境,可通过IIS直接生成自签名证书:
- 在IIS管理器的“服务器证书”界面选择“创建自签名证书”
- 输入易识别的证书名称(建议包含域名),完成生成操作
- 该证书仅适用于本地测试,浏览器会提示安全警告
三、导入SSL证书
获取CA签发的证书后,需通过以下方式导入IIS:
- 使用MMC控制台导入PFX文件至“证书(本地计算机)”的个人存储区
- 或在IIS管理器的“服务器证书”界面选择“完成证书申请”导入CER/CRT文件
- 导入时需提供私钥密码,选择“允许导出私钥”选项
四、选择并绑定证书
完成证书导入后,需为网站配置HTTPS绑定:
- 右键目标网站选择“编辑绑定”,添加类型为HTTPS的新绑定
- 端口设置为443,主机名填写完整域名
- 从SSL证书下拉列表中选择已导入的证书名称
五、验证SSL配置
通过浏览器访问网站域名,检查以下指标:
- 地址栏显示“https://”前缀及锁形图标
- 点击锁图标可查看证书详细信息,确认颁发机构与有效期
- 使用SSL Labs等工具检测协议兼容性与加密强度
通过生成CSR文件、创建自签名证书、导入CA证书及正确绑定等步骤,可在IIS中实现SSL/TLS加密。建议生产环境使用权威CA签发的证书,并定期更新以保证安全性。
