如何在IIS中为两个网站配置SSL证书？

在IIS环境中为两个网站配置SSL证书时，首先需要明确技术方案的选择。每个网站通常都需要独立的HTTPS服务，但由于服务器资源的限制和用户访问体验的考虑，我们需要评估多种实现方式的优劣。在IIS8之前的版本中，SSL证书绑定与IP地址和端口紧密相关，造成了同一IP和端口上无法使用多个不同证书的困境。

常见的解决方案包括：为每个HTTPS站点绑定到不同端口，但这种方式要求用户访问时手动指定端口号，如https://site.domain.com:444，严重影响用户体验；为每个站点分配独立IP地址，这种方法从根本上解决了证书冲突问题，甚至无需添加主机头，但对IP地址资源有较高要求；使用通配证书覆盖同一主域下的所有子域名，比如颁发给.domain.com的证书可以同时保护site1.domain.com和site2.domain.com。

证书准备与导入

在实施具体配置前，需要确保SSL证书已经准备就绪。无论证书是从商业CA购买还是自签名生成，都需要将其正确导入IIS服务器。可以通过IIS管理器的“服务器证书”功能导入证书文件，通常证书文件格式为.pfx，其中包含了私钥信息。

具体操作步骤为：打开IIS管理器，在“连接”面板中找到服务器并双击，在“中心”面板中找到“服务器证书”图标并双击打开。在“服务器证书”页面，点击“操作”菜单中的“导入”，浏览并选择.pfx文件，输入密码后完成导入。导入成功后，证书会显示在服务器证书列表中，为后续的网站绑定做好准备。

独立IP方案实施

为每个网站分配独立IP地址是最直接的解决方案。首先需要在服务器网络配置中添加额外的IP地址，然后在IIS管理器中进行网站绑定设置。

• 为第一个网站绑定：选择类型为HTTPS，IP地址指定为第一个独立IP，端口保持443，选择对应的SSL证书
• 为第二个网站绑定：同样选择HTTPS类型，但使用第二个独立IP地址，选择该网站对应的证书

这种方法有效避免了证书冲突，因为每个网站都在不同的IP地址上提供HTTPS服务，服务器能够准确识别应该使用哪个证书进行通信加密。

SNI技术方案部署

对于IIS8及更高版本的服务器，可以使用SNI（Server Name Indication）技术实现同一IP上多个SSL证书的共存。SNI是TLS协议的扩展，允许客户端在握手过程中指定要连接的主机名，使服务器能够在同一IP地址和端口上提供多个证书。

配置SNI需要在添加网站绑定时启用“需要服务器名称指示”选项。具体操作步骤为：在“站点绑定”对话框中添加HTTPS绑定，选择对应的SSL证书，然后勾选SNI选项。这种方法对客户端浏览器有一定要求，现代主流浏览器均已支持SNI技术。

通配证书统一管理

使用通配证书是另一有效的解决方案。通配证书可以保护一个域名及其所有子域名，例如*.domain.com的证书可以同时用于site1.domain.com和site2.domain.com。

通配证书的实施步骤包括：

• 购买或生成通配证书
• 将证书导入IIS服务器证书存储
• 为每个网站分别绑定HTTPS，但都选择同一个通配证书

注意：通配证书只能保护同一级域名下的子域名，例如*.domain.com不能保护sub.site.domain.com这样的二级子域名。

配置验证与测试

完成SSL证书配置后，需要进行全面的测试验证。首先检查每个网站是否能够通过HTTPS正常访问，浏览器地址栏应显示安全锁标志。对于使用SNI技术的配置，需要使用不同域名进行测试，确保每个域名都显示了正确的证书信息。

建议进行的测试项目包括：

• 分别访问两个网站的HTTPS地址
• 检查浏览器中的证书详细信息，确认每个网站显示的是各自的证书
• 使用SSL检测工具验证配置的正确性
• 测试HTTP到HTTPS的重定向功能是否正常工作

如果遇到证书错误，需要确保证书的有效期、域名匹配和正确导入。配置HTTP到HTTPS重定向可以确保所有访问都通过加密连接进行，提升网站安全性。