2023-2034年内网IIS服务器是否仍允许使用自签名SSL证书？ #

嘿，别急，自签名证书在2023到2034年间，对于不暴露公网、只服务内网应用的IIS服务器来说，完全是允许的——行业针对SSL证书的安全收紧主要是针对公网场景（比如强制要求CA颁发的证书、缩短证书有效期上限），内网自签证书的使用并没有被禁止。

你这次遇到浏览器报错“证书无效、连接不私密”，大概率不是政策问题，而是操作环节出了疏漏，咱们一步步排查可能的原因：

• 客户端信任环节的细节遗漏：
  你提到把无私钥的证书导入了桌面的受信任根证书颁发机构，但要确认两个关键点：

  • 是不是导入到了本地计算机账户的根证书存储，而不是当前用户账户？很多人会误导入到用户账户下，导致其他用户登录同一台电脑时，系统依然不识别这个自签证书。
  • 证书的**主题备用名称（SAN）**是不是包含了你访问的内网域名？现在Chrome、Edge、Firefox这些主流浏览器都强制要求证书必须包含访问域名的SAN字段，哪怕是内网域名也不例外——如果你的自签证书只设置了CN（主体名称）而没加SAN，浏览器会直接判定证书无效。

• 服务器端证书配置的潜在问题：

  • 确认IIS绑定的是带有私钥的证书，而且私钥的权限设置正确：右键证书→“所有任务”→“管理私钥”，确保IIS的应用池账户（比如IIS_IUSRS）拥有读取私钥的权限，否则服务器无法正常向客户端出示证书，也会触发报错。
  • 检查证书的有效期：虽然自签证书可以设置较长有效期，但如果不小心设成了已过期，或者有效期超过10年（部分浏览器对超长期证书会有安全警告），也会被判定为无效。

• 浏览器或内网安全工具的干扰：

  • 试试清空浏览器的SSL缓存，或者用隐私模式访问——有时候旧的证书缓存会干扰新证书的识别。
  • 排查下内网的终端防护软件、代理工具：这类工具可能会拦截自签证书的信任，把它标记为不安全。

另外，给你提个生成合规自签证书的PowerShell命令示例，记得一定要加上SAN参数：

New-SelfSignedCertificate -DnsName "intranet.yourcompany.com", "server01.yourcompany.com" -CertStoreLocation "Cert:\LocalMachine\My" -NotAfter (Get-Date).AddYears(5)

这样生成的证书包含了需要的内网域名，浏览器才会正常信任。

备注：内容来源于stack exchange，提问作者Tim