在 IIS 服务器上安装证书

更新时间： 2022.11.03 20:34:32

文档反馈

证书签发后，您可以在火山引擎控制台下载证书。获得证书后，您必须将证书安装到服务器，才能使终端用户与您的 Web 服务建立安全连接。本教程将指导您在 Internet Information Services（IIS）服务器上安装证书。

前提条件

您已通过火山引擎证书中心签发证书。
如果您还没有申请证书，请参见快速入门。
服务器已开放 443 端口。
HTTPS 通信的默认端口是 443，因此只有为服务器开放 443 端口，才能保证服务器能够接收 HTTPS 请求。

环境说明

本教程建立在以下环境基础上：

服务器：
- 操作系统：Windows Server 2012 R2
- Web 服务程序：Internet Information Services 8
说明

服务器环境不同，可能导致实际配置步骤与本文描述有差异。这种情况下，您需以实际环境为准，本文只用作参考。
示例域名：ssl.example.com
下图展示了没有安装 SSL 证书时，通过 HTTP 协议访问域名的结果。浏览器提示连接是不安全的。

教程概览

本教程将指导您在 IIS 服务器上导入证书，并将证书绑定到您的网站。
具体步骤如下：

准备 PFX 格式的 SSL 证书
上传证书到 IIS 服务器
在 MMC上导入证书
在 IIS 上绑定证书
验证证书是否配置成功

步骤 1：准备 PFX 格式的 SSL 证书

IIS 服务器需要 PFX 格式的 SSL 证书。根据您在申请证书时选择的 CSR生成方式 ，您可以从证书中心下载的证书内容不同。关于下载证书压缩包的具体操作，请参见下载证书。

CSR生成方式为自动

您可以从证书中心控制台下载 IIS 证书压缩包到本地计算机。下载 IIS 证书压缩包后，解压缩证书压缩包到本地计算机。
alt

证书压缩包名称为 <CommonName>_iis 。其中， <CommonName> 表示证书绑定的域名。
解压缩后，您将获得以下文件：

<CommonName>.pfx ：证书文件，包含证书和私钥。
keystorePass.txt ：证书密码文件，包含证书密码。
说明
- 您每次下载证书时，系统都会随机生成一个与当前证书匹配的证书密码。证书密码保存在 keystorePass.txt 。
- 目前不支持您指定证书密码。如果需要更新证书文件，必须重新下载证书。

CSR生成方式为手动

不支持从证书中心控制台下载 IIS 证书压缩包。

这种情况下，您需要下载其他类型服务器的证书压缩包。下载其他证书压缩包后，解压缩证书压缩包到本地计算机。

证书压缩包名称为 <CommonName>_other 。其中， <CommonName> 表示证书绑定的域名。
解压缩后，您将获得以下文件：

<CommonName>.crt ：证书文件。
<CommonName>.pem ：证书文件（PEM 编码）。

这时，您需要使用相应工具（例如，OpenSSL、Keytool等）将证书文件和您保管的私钥文件，转换成 PFX 格式的证书文件。关于证书格式转换的操作，请参见证书格式转换。

步骤 2：上传证书到 IIS 服务器

上传本地文件到远程服务器的方式有很多。本教程以使用远程桌面连接为例，介绍如何将证书从本地 Windows 计算机上传到远程 IIS 服务器。

在本地计算机，按 Win+R 键。
在运行窗口，输入 mstsc ，并单击确定。
在 远程桌面连接 对话框，单击 显示选项 。
完成以下连接设置，然后单击连接：
- 常规：输入要连接的 IIS 服务器的公网 IP 地址及登录用户名。
- 本地资源 ：单击 详细信息 ，然后在 驱动器 菜单下，选中证书文件所在磁盘，并单击确定。
  本示例中，证书文件位于 C 盘，所以选中 本地磁盘（C:） 。
（可选）如果出现 是否信任此远程连接 对话框，单击连接。
在 输入你的凭据 对话框，输入服务器用户的密码，并单击确定。
（可选）如果出现是否信任服务器证书的对话框，单击连接。
此时，您将连接到远程服务器，并可以看到远程服务器的桌面。
在远程桌面上，单击底部菜单栏的文件夹图标。
此时，可以看到 设备和驱动器 列表中包含之前选择的本地磁盘。
打开本地磁盘，将证书文件复制到远程桌面。

步骤 3：在 MMC 上导入证书

在远程桌面上，打开 Windows 服务器控制台 MMC（Microsoft Management Console）。

说明

如果您不清楚如何打开MMC，请尝试搜索mmc。
添加证书管理单元。
1. 在控制台的顶部菜单栏，选择 文件 > 添加/删除管理单元 。
2. 在 添加或删除管理单元 对话框，从左侧 可用的管理单元 列表中单击证书，并单击添加。
3. 在 证书管理单元 对话框，选择 计算机账户 ，并单击 下一步 。
4. 在 选择计算机 对话框，选择 本地计算机（运行此控制台的计算机） ，并单击完成。
5. 在 添加或删除管理单元 对话框，单击确定。
在 控制台根节点 下，展开 证书（本地计算机） ，然后在个人上单击鼠标右键，并选择 所有任务 > 导入 。
根据对话框提示，完成证书导入向导。
1. 欢迎使用证书导入向导 ：单击 下一步 。
2. 要导入的文件 ：单击浏览，打开 PFX 格式的证书文件，单击 下一步。
  
  说明
  
  在打开文件时，您必须先将文件类型设置为 个人信息交换（*.pfx;*.p12） ，然后才能选择证书文件。
3. 私钥保护 ：在密码文本框输入证书密码，并单击 下一步 。
  
  说明
  
  您可以从下载的 keystorePass.txt 文件中获取证书密码。如果您自己生成了 PFX 证书，请使用您在生成证书时设置的密码。
4. 证书存储 ：选中 根据证书类型，自动选择证书存储 ，并单击 下一步 。
5. 正在完成证书导入向导 ：单击完成。
6. 收到 导入成功 提示后，单击确定。

步骤 4：在 IIS 上绑定证书

打开 Internet Information Services（IIS）管理器。

说明

如果您不清楚如何打开 IIS，请尝试搜索iis。
展开左侧的 起始页 ，定位到要绑定证书的网站，然后单击网站名。
在右侧操作导航栏，单击绑定。
在 网站绑定 对话框，单击添加。
在 添加网站绑定 对话框，完成网站的相关配置，并单击确定。
网站绑定的具体配置如下：
- 类型：选择 https 。
- IP地址 ：选择服务器的 IP 地址。
- 端口：默认为 443 ，无需修改。
- 主机名 ：填写网站域名。
- SSL证书 ：选择已导入的证书。
  
  说明
  
  如果您已导入多个 SSL 证书，可以单击选择，然后在 选择证书 对话框，通过域名搜索对应的证书。
完成配置后，您可以在 网站绑定 列表查看已添加的网站绑定。
在 网站绑定 对话框，单击关闭。

步骤 5：验证证书是否配置成功

注意

进行验证操作前，请确保服务器已开放 443 端口访问。如果您的服务器因安全组、防火墙等策略，未允许 443 端口访问，请先修改对应策略。

打开本地计算机上的浏览器，使用 HTTPS 格式地址访问域名：https://ssl.example.com。成功建立连接后，在浏览器地址栏出现锁状图标，表示连接是安全的。

您可以单击锁状图标，查看连接详情，例如获取证书信息等。

（可选）HTTP 请求强制跳转为 HTTPS 请求

网站启用 HTTPS 通信后，您还可以通过 URL 重写工具，使终端用户的 HTTP 请求强制跳转为 HTTPS 请求，确保终端用户通过 HTTPS 访问 Web 服务。

在 IIS 服务器上，下载并安装 URL 重写工具。

您可以将 URL 重写工具安装包下载到本地计算机，然后通过远程桌面连接，将安装包上传到服务器。

以下图片展示了安装 URL 重写工具的过程。

安装 URL 重写工具后，您就可以在 IIS 面板中看到 URL 重写 按钮。
添加 URL 重写规则。
1. 在 IIS 面板，双击 URL 重写 。
2. 在右侧操作栏，单击 添加规则 。
3. 在 添加规则 对话框，选择 入站规则 下的 空白规则 ，然后单击确定。
编辑入站规则。
1. 为新增的入站规则设置一个名称。例如，redirect http to https。
2. 按如下方式，配置匹配 URL ：
  - 请求的 URL ： 与模式匹配 。
  - 使用： 正则表达式 。
  - 模式： (.*) 。
3. 按如下方式，添加条件：
  - 条件输入 ： {HTTPS} 。
  - 检查输入字符串是否 ： 与模式匹配 。
  - 模式： ^OFF$ 。
4. 按如下方式，配置操作：
  - 操作类型 ： 重定向 。
  - 重定向 URL ： https://{HTTP_HOST}{REQUEST_URI} 。
  - 附加查询字符串 ：取消选中。
  - 重定向类型 ： 永久(301) 。
在右侧操作栏，单击应用。
打开本地计算机上的浏览器，使用 HTTP 格式地址访问域名：http://ssl.example.com。

如果地址自动切换为 HTTPS 格式，则表示 HTTP 请求已强制跳转为 HTTPS 请求。