公司的一個項目使用IIS部署的網站,現在需要更新SSL證書。為了下次方便,在此做記錄整理。
以下第一部分是查網絡AI查詢到的資料,解決了我心中對雙擊和從IIS導入有什么不同的疑惑。第二部分是我在這次實際操作過程中的截圖。
一.證書安裝方式
雙擊安裝證書和IIS導入。在 IIS 環境中配置 SSL 證書時,“雙擊安裝證書”與“在 IIS 管理器中導入證書”是兩種不同的操作,其核心區別在于 證書存儲位置、用途和管理權限。以下是具體分析:
🔐 1.雙擊安裝證書
1) 存儲位置
- 雙擊安裝(如
.cer或.crt文件)默認將證書導入 當前用戶的證書存儲區(例如“當前用戶”>“受信任的根證書頒發機構”或“中級證書頒發機構”)。 - 若需全局生效,需通過 MMC 控制臺 手動導入到“計算機賬戶”的存儲區。
2) 主要用途
- 信任證書鏈:用于安裝中間 CA 證書或根證書,確保客戶端或服務器信任對方證書(例如雙向認證中的 CA 證書)。
- 客戶端證書:用戶雙擊安裝客戶端證書后,瀏覽器可調用該證書進行身份驗證。
3)權限要求
- 僅需當前用戶權限,無需管理員身份。
4) 典型場景
- 安裝 CA 證書以信任自簽名機構。
- 客戶端安裝個人證書用于雙向認證。
🌐 2、在 IIS 管理器中導入證書
1) 存儲位置
- 通過 IIS 管理器導入的證書(
.pfx文件)直接存儲于 本地計算機的證書存儲區(“個人”>“證書”),并自動關聯到 IIS 服務。
2) 主要用途
- 服務器身份驗證:綁定到網站,啟用 HTTPS 加密通信。
- 管理私鑰:
.pfx文件包含私鑰,IIS 需訪問私鑰才能完成 TLS 握手。
3) 權限要求
- 需管理員權限(因涉及系統級證書存儲和 IIS 配置)。
4) 操作流程
- 打開 IIS 管理器 → 點擊服務器節點 → “服務器證書” → “導入” → 選擇
.pfx文件并輸入密碼。
?? 3、關鍵區別總結
| 維度 | 雙擊安裝證書 | 在 IIS 中導入證書 |
|---|---|---|
| 存儲位置 | 當前用戶證書存儲區 | 本地計算機證書存儲區(個人/證書) |
| 文件類型 | .cer/.crt(僅公鑰) | .pfx(含私鑰) |
| 核心用途 | 信任 CA 鏈、客戶端認證 | 服務器 HTTPS 綁定、TLS 加密 |
| 權限需求 | 普通用戶權限 | 管理員權限 |
| 對 IIS 的影響 | 間接(需額外配置信任) | 直接(立即生效于站點綁定) |
💎 4、實際配置中的協同使用
-
雙向認證場景
- 步驟 1:雙擊安裝 CA 證書到“受信任的根證書頒發機構”(確保服務器信任客戶端證書)。
- 步驟 2:在 IIS 中導入服務器證書(
.pfx)并綁定到站點。 - 步驟 3:在站點 SSL 設置中啟用“要求客戶端證書”。
-
常見錯誤規避
- 問題:雙擊安裝的 CA 證書未導入“計算機賬戶”,導致 IIS 無法識別。
解決:通過 MMC 控制臺手動將證書導入“計算機賬戶”的信任存儲區。 - 問題:私鑰未關聯。
解決:IIS 必須通過.pfx導入才能獲取私鑰;雙擊安裝.cer無法綁定私鑰。
- 問題:雙擊安裝的 CA 證書未導入“計算機賬戶”,導致 IIS 無法識別。
? 5、操作建議
- 僅配置服務器 HTTPS → 只需在 IIS 管理器中導入
.pfx。 - 啟用雙向認證 → 需結合兩種方式:
- 雙擊安裝 CA 證書(信任鏈)
- IIS 導入服務器證書(含私鑰)
- 客戶端安裝個人證書。
- 驗證證書鏈完整性 → 使用工具(如 myssl.com)檢測中間證書是否缺失。
💡 提示:若 IIS 重啟后證書失效,檢查 CA 證書是否通過
certutil -addstore root CA.crt寫入系統存儲(Windows Server 2016+ 常見問題)。
二、實際操作
由于本次操作只需要綁定https,下面只操作IIS導入步驟
1.證書導入
在IIS證書導入中,選擇下載好的證書;導入過程中,需要數據證書自帶的密碼
2.域名綁定
選擇相應的網站,進行域名綁定時,發現根據域名搜索不到證書;經查證,證書為一級域名。解決辦法就是在綁定時,不使用域名搜索,選擇證書綁定后,再把域名填上即可
如上圖,搜索不到證書。
如上圖,刪除掉主機名。重新搜索即可
 ? | IncrementingCounter(遞增計數器))
實操)
