如何在IIS 7.5生成SSL证书申请及绑定站点配置指南

在互联网通信中，HTTP协议传输的数据为明文，存在被窃听和篡改的风险。为部署在 Windows Server IIS 7.5 上的网站启用 HTTPS 协议及 SSL 证书，可实现通信数据加密传输，确保用户数据的机密性和完整性。

准备工作：需以Administrator账户或具备管理员权限的账户操作；确保域名已完成工信部备案（适用于中国内地服务器），并通过A记录解析至服务器公网IP。

一、SSL证书申请与准备

根据安全需求与预算，可选择生成 自签证书 或向受信任的 第三方证书颁发机构申请证书。

1.1 自签名证书生成（适用于测试环境）

• 安装 OpenSSL工具，并打开其安装目录的命令行窗口。
• 执行命令生成RSA私钥：openssl genrsa -out f:\ssl.key 2048。
• 生成X509自签名证书：openssl req -new -x509 -key f:\ssl.key -out f:\ssl.cer -days 365。请根据提示依次填写国家代码、省份、城市、组织名称等信息。

1.2 受信任SSL证书申请流程（推荐用于生产环境）

向受信任的CA机构申请证书能确保主流浏览器的兼容性，步骤如下：

• 生成证书签名请求文件：可通过在线CSR生成工具创建包含您网站域名的CSR文件及对应的私钥Key文件。注意，CSR文件中的域名必须与您实际访问的域名完全一致。
• 提交CSR文件至CA机构进行签发。
• 获取并下载CA机构签发的证书文件（通常为.crt格式）以及CA根证书文件。

获取证书后，常需合并得到IIS可识别的.pfx文件。可使用在线SSL证书转换工具，将CA证书和私钥合并生成.pfx格式文件，并设置私钥密码。

二、IIS服务器证书导入

1. 启动IIS管理器：点击开始菜单 -> 所有程序 -> 管理工具 -> Internet信息服务(IIS)管理器。
2. 在服务器主界面，选择“服务器证书”。
3. 在右侧“操作”窗格中，点击“导入”。
4. 在对话框中指定准备好的.pfx证书文件路径，输入证书私钥密码，并选择证书存储位置，点击“确定”完成导入。

三、网站HTTPS绑定与配置

证书导入成功后，需将其与特定网站绑定：

• 在IIS管理器中，选择需要配置HTTPS的网站，右键点击并选择“编辑绑定”。
• 在“网站绑定”对话框中点击“添加”，设置类型为HTTPS，端口通常使用443，并在SSL证书下拉菜单中选择已导入的证书，点击“确定”。

四、强化安全：配置TLS 1.2协议

为应对已知安全漏洞，建议启用更安全的TLS 1.2协议，并禁用不安全的旧版本协议。

• 通过修改Windows注册表来构建TLS 1.2节点，具体路径在协议层下添加TLS 1.1和TLS 1.2相关项，并可选择性地禁用SSLv2、SSLv3和TLS 1.0协议版本。
• 在网站的web.config文件中，可以通过配置系统.webServer/security/access元素来指定所需的SSL设置。

五、SSL证书自动续期方案

对于生产环境，SSL证书的长期有效性至关重要。可通过工具实现自动续期，例如使用win-acme工具。运行工具后，根据提示选择创建新证书，同意相关协议，即可自动化处理续期流程，确保证书服务不中断。

六、配置验证与问题排查

完成所有配置后，重启IIS服务器或整个操作系统使配置生效。

• 使用浏览器访问https://您的域名，地址栏应显示安全锁标志。
• 若通过IP地址访问出现“数字证书错误”提示，通常是因证书绑定的域名与实际访问地址不匹配所致，需确保证书申请时填写的域名准确无误。