在证书控制台下载IIS版本证书,下载到本地的是一个压缩文件,解压后里面包含.pfx文件是证书文件,pfx_password.txt是证书文件的密码。
友情提示: 每次下载都会产生新密码,该密码仅匹配本次下载的证书。如果需要更新证书文件,同时也要更新密码。
申请证书时如果没有选择系统创建CSR,则没有该文件,请选择其它服务器下载.crt文件,利用openssl命令自己生成pfx证书。
( 1 ) 证书导入
• 开始 -〉运行 -〉MMC;
• 启动控制台程序,选择菜单“文件”中的”添加/删除管理单元”-> “添加”,从“可用的独立管理单元”列表中选择“证书”-> 选择“计算机帐户”;
• 在控制台的左侧显示证书树形列表,选择“个人”->“证书”,右键单击,选择“所有任务”-〉”导入”, 根据”证书导入向导”的提示,导入PFX文件(此过程当中有一步非常重要: “根据证书内容自动选择存储区”)。
• 安装过程当中需要输入密码为您当时设置的密码。导入成功后,可以看到证书信息。
( 2 ) 分配服务器证书。
( 1 ) 证书导入
• 开始 -〉运行 -〉MMC;
• 启动控制台程序,选择菜单“文件”中的”添加/删除管理单元”-> “添加”,从“可用的独立管理单元”列表中选择“证书”-> 选择“计算机帐户”;
• 在控制台的左侧显示证书树形列表,选择“个人”->“证书”,右键单击,选择“所有任务”-〉”导入”, 根据”证书导入向导”的提示,导入PFX文件(此过程当中有一步非常重要: “根据证书内容自动选择存储区”)。安装过程当中需要输入密码为您当时设置的密码。导入成功后,可以看到证书信息。
( 2 ) 分配服务器证书
• 打开 IIS8.0 管理器面板,找到待部署证书的站点,单击“绑定”。
• 设置参数选择“绑定”->“添加”->“类型选择 https” ->“端口 443” ->“ssl 证书【导入的证书名称】” ->“确定”。
SSL 缺省端口为 443 端口,请不要随便修改。如果您使用其他端口,如:8443,则访问时必须输入:https://www.domain.com:8443 。
如下转自:链接:https://blog.csdn.net/monster_axi/article/details/80545541
首先搞清楚网站所需证书的类型,单域\通配符\多域名证书所代表的含义和适配情况
注意:本文中有些图片引自他人博客或论坛,如有冒犯请联系
单域名版SSL证书
顾名思义,只保护一个域名,这些域名形如 www.yuming.com;pay.domain.net;shop.store.cn 等;
值得注意的有两点:
1、当您为 www 前缀的域名申请证书的时候,默认是可以保护不带 www 的主域名,例如您为 www.sslzhengshu.com 申请证书,则 sslzhengshu.com 也默认会被保护;
2、当您为其他前缀的子域名申请证书时,则只能保护当前子域名 , 不能保护不带前缀的主域名。
多域名版SSL证书
这种证书可以同时保护多个域名,例如同时保护 www.yuming.com、pay.domain.com、shop.store.com 等,但每一个品牌多域名证书默认保护的域名数量不一样,详情如下:
【使用场景】某公司,旗下有多种业务,从而也有多个完全不一样的主域名:
www.domain.com;www.domain.net;www.yuming.com ……
于是,他选择了以下支持多域名的企业型证书,有时候超过多域名证书本身默认保护的域名数量之后多增加一个域名需要支付的费用,但这对比单个申请,节约了很多成本,包括购买成本和审核带来的时间成本。
通配符SSL证书
这种版本的证书可以保护同一主域名下同一级所有的子域名,不限个数,申请证书时,域名填写为 .your-domain.com;可以是任何前缀。
【使用场景】某公司旗下有一个域名叫 domain.com,但因为业务需要,解析了很多子域名,有:
www.domain.com;login.domain.com;shop.domain.com;bill.domain.com ……
可能多达几十上百个这样的子域名,但为每一个域名都申请一张证书,将会是很昂贵的费用。所以该公司申请了一张支持 *.domain.com 的通配符证书,保护了 * 所代表的任何前缀的子域名。
搞清楚网站所需证书之后 需要到各个证书提供商那里购买 比如阿里云,腾讯云等 此处不再赘述过程
证书申请下来之后 选择下载证书 要下载适配于iis系统的 .pfx
后缀的证书,然后上传到服务器上 位置不限
此时开始操作服务器,导入证书
1. 【WINDOWS键 + R 】 打开运行窗口, 输入 【 mmc 】点确定
2. 点击 【文件】 , 选择【添加/删除管理单元】,在【可用管理单元】列表 选择 【 证书】 点击添加。弹出窗口,
选择 【 计算机账户】,确定即可
打开“证书”>右键“个人”>“所有任务”>“导入”。
右下角勾选“个人信息交换(*.pfx;p12)”。选择类型为“Personal Information Exchange”的文件即可。
打开之后,选择下一步,勾选“根据证书类型,自动选择证书存储”,然后点击下一步。
点击完成与成功导入。
空白处刷新,确认已成功导入。
【个人 -》 证书 】 里面可以看到你刚刚导入的域名, 选中证书,右键属性, 修改友好名称点击确定
例如域名是 www.gworg.com 【友好名称修改为 *.gworg.com】
然后回到IIS 管理器 , 为站点绑定域名
选择 网站, 右键 , 点击 “ 编辑绑定”
点击”添加” , 选择 “HTTPS” ,选择刚刚导入的证书名称,然后填写主机名 再点击确认。(主机名必须填写,主机名称就是要使用ssl证书的域名,比如www.domain.com)
此时容易出现两种情况
1.主机名无法填写
2.多个子域名的通配符证书不知道怎么填写
在此一并解决
首先添加一条没有主机名的https记录 端口默认443
然后
IIS7下的https无法绑定主机头,显示灰色,原因是IIS7不支持SNI,即一个IP只能绑定到一个HTTPS站点上。
网上的资料大部分都是建议修改IIS7配置文件直接指定主机名,内容如下:
打开C:\Windows\system32\inetsrv\config\applicationHost.config
1
通过ctrl+F 查找 定位到如下位置:
<bindings>
<binding protocol="http" bindingInformation="*:80:www.域名.com" />
<binding protocol="http" bindingInformation="*:80:域名.com" />
<binding protocol="http" bindingInformation="*:80:bbs.域名.com" />
<binding protocol="https" bindingInformation="*:443:" />
</bindings>
找到https的配置项目行(带有443端口的那行),修改为:
<binding protocol="https" bindingInformation="*:443:www.你的域名.com" />
<binding protocol="https" bindingInformation="*:443:www.域名.com" />
<binding protocol="https" bindingInformation="*:443:bbs.域名.com" />
<binding protocol="https" bindingInformation="*:443:域名.com" />
注意这里的www.domain.com要换成你自己的域名,之后保存即可此处列举了多个 按需添加即可 单域名证书只可添加一条,如果购买了通配符证书可以把网站下属所有子域名都加上即可。
然后测试效果
如果此时网站的安全锁还带有感叹号,那么请检查网站页面上面是否引用了不是https的链接或图片,此时可以通过浏览器的开发者工具中的控制台来查看
加一句题外话 如果可以的话 强烈建议更换Linux 系统 因为Linux系统可以免费申请证书 安装操作面板的话 可以一键操作根本不需要配置什么东西而且支持多域名 只需要调整模版链接
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。