IIS 服务器 SSL 证书安装与 HTTPS 全流程配置指南

在现代 Web 安全实践中，启用 HTTPS 已成为网站部署的必备环节。Windows Server 搭载 Internet Information Services（IIS）作为主流 Web 服务器平台，其 SSL/TLS 证书配置过程虽不复杂，但涉及证书申请、导入、绑定及安全策略优化多个关键步骤。本文将系统讲解如何在 IIS 环境中完成 SSL 证书安装与 HTTPS 正确配置，确保网站通信加密可靠、兼容主流浏览器，并符合当前安全最佳实践。

一、准备工作：获取有效 SSL 证书

SSL 证书需由受信任的证书颁发机构（CA）签发，常见类型包括单域名、多域名（SAN）及通配符证书。建议优先选择支持 SHA-256 签名算法和 RSA 2048 位（或 ECC 256 位）密钥的证书。证书文件通常包含三部分：

• .cer 或 .crt：公钥证书（含证书链信息）
• .pfx 或 .p12：私钥+证书组合包（含密码保护，用于 IIS 导入）
• .key：私钥文件（仅在生成 CSR 时本地存在，IIS 不直接使用）

若尚未获取证书，请先在 IIS 中生成证书签名请求（CSR），提交至 CA 后下载签发后的 .pfx 文件。务必妥善保管 .pfx 密码，该密码将在后续导入步骤中必需。

二、导入 SSL 证书到服务器证书存储区

登录 Windows Server，打开「Internet Information Services（IIS）管理器」，左侧导航树右键目标服务器 → 选择「服务器证书」。

点击右侧操作栏「导入…」，弹出对话框后执行以下操作：

• 「证书文件」：浏览并选中下载的 .pfx 文件
• 「密码」：输入生成该文件时设定的保护密码
• 「证书存储」：保持默认「个人」即可

确认后点击「确定」。成功导入后，证书将显示在服务器证书列表中，状态为「有效」，且「到期日期」字段清晰可见。

三、为网站绑定 HTTPS 协议与证书

在 IIS 管理器中，展开左侧站点列表，右键待配置网站 → 选择「编辑绑定…」。

在「网站绑定」窗口中：

• 点击「添加…」按钮
• 「类型」下拉选择 https
• 「IP 地址」：根据需求选择「全部未分配」或指定 IP（如服务器有多个公网 IP）
• 「端口」：保持默认 443（HTTPS 标准端口）
• 「主机名」：填写对应域名（如 www.example.com），此字段启用后可实现 SNI 多证书共存
• 「SSL 证书」：从下拉菜单中选择刚导入的有效证书

点击「确定」保存绑定。此时网站已具备 HTTPS 访问能力，可通过 https://yourdomain.com 测试基础连接。

四、强制 HTTPS 重定向（推荐配置）

为保障所有流量走加密通道，应配置 HTTP 到 HTTPS 的自动跳转。IIS 默认不启用此功能，需借助 URL 重写模块实现。

首先确认已安装「URL 重写」模块（可通过「服务器管理器 → 添加角色和功能」安装）。随后在网站根节点双击「URL 重写」，点击右侧「添加规则…」→ 选择「空白规则」。

填写规则如下：

<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="HTTP to HTTPS redirect" stopProcessing="true">
          <match url="(.*)" />
          <conditions>
            <add input="{HTTPS}" pattern="off" ignoreCase="true" />
          </conditions>
          <action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="Permanent" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

该规则含义为：当请求协议为 HTTP（{HTTPS} 值为 off）时，永久重定向（301）至相同路径的 HTTPS 版本。redirectType="Permanent" 有助于搜索引擎识别并更新索引链接。

五、增强 HTTPS 安全性：TLS 协议与加密套件优化

IIS 默认可能启用较弱的 TLS 版本（如 TLS 1.0/1.1）或不安全加密套件。建议通过 Windows 组策略或注册表禁用旧协议，仅保留 TLS 1.2 及以上。

以组策略为例（适用于域环境）：

• 运行 gpedit.msc → 计算机配置 → 管理模板 → 网络 → SSL 配置设置
• 启用「SSL 密码套件顺序」，并设置值为：
  TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,...（按优先级排列）

同时，在 IIS 管理器中，双击网站 →「SSL 设置」→ 勾选「要求 SSL」并选择「接受」或「需要」客户端证书（后者仅限特定场景）。普通网站推荐「接受」，兼顾兼容性与安全性。

六、验证与测试

完成配置后，务必进行多维度验证：

• 使用浏览器访问 http://yourdomain.com，确认自动跳转至 https://... 且地址栏显示锁形图标
• 访问 https://yourdomain.com，点击地址栏锁图标 → 查看证书详情，确认颁发者、有效期及域名匹配
• 使用在线工具（如 SSL Labs 的 SSL Test）扫描域名，检查协议支持、密钥强度、HSTS 等项得分
• 检查 IIS 日志，确认无 403/500 类 HTTPS 相关错误

若出现“证书不受信任”提示，大概率因证书链不完整。此时需在服务器上手动安装中间证书：下载对应 CA 的中间证书 .cer 文件 → 运行 certlm.msc → 证书管理器中定位「中间证书颁发机构」→ 右键「所有任务 → 导入」→ 完成安装。

结语

SSL 证书安装与 HTTPS 配置并非一次性操作，而是网站安全生命周期的起点。正确完成 IIS 下的证书导入、站点绑定、强制跳转及协议加固，不仅能防范数据窃听与中间人攻击，更能提升用户信任度与搜索引擎排名。建议定期检查证书有效期（提前 30 天续期），监控 TLS 配置合规性，并结合 HSTS 头（通过 HTTP 响应头 Strict-Transport-Security 设置）进一步强化安全边界。唯有持续维护，方能真正筑牢 Web 服务的安全基石。