我之前在Windows Server 2012 R2的IIS环境里碰到过几乎一模一样的问题，结合你的配置细节，给你梳理几个核心排查和修复方向：

一、自签名证书的核心坑：客户端信任缺失 #

这是最常见的导致页面无法显示的原因——自签名证书默认不被浏览器/客户端信任，即使IIS配置完全正确，客户端也会直接阻断连接，甚至不弹出信任提示就显示"This page can’t be displayed"。

• 修复步骤：
  1. 在IIS的「服务器证书」里，右键你的自签名证书 → 「导出」，选择导出为带私钥的PFX文件，设置一个导出密码。
  2. 在需要访问API的客户端机器上，运行certmgr.msc打开证书管理器，展开「受信任的根证书颁发机构」→「证书」，右键选择「所有任务」→「导入」，导入刚才导出的PFX文件，按提示完成导入（导入时要选择放置到「受信任的根证书颁发机构」存储）。
  3. （可选）如果是测试环境，也可以用PowerShell生成更规范的自签名证书（带SAN字段，避免浏览器因为证书不符合现代标准拒绝）：

  New-SelfSignedCertificate -DnsName "你的API主机名" -CertStoreLocation "cert:\LocalMachine\My" -NotAfter (Get-Date).AddYears(5) -KeySpec KeyExchange
  

  生成后再到IIS里选择这个证书做绑定。

二、IIS绑定的细节排查 #

你已经完成了绑定，但还有几个容易忽略的点：

• 确保绑定的「主机名」和证书的「DNS名称」完全一致（DNS不区分大小写，但最好完全匹配，避免浏览器校验失败）。
• 如果你的API是通过IP直接访问，绑定里不要填写主机名，同时要确保证书的使用者名称或SAN字段包含该IP地址（用上面的PowerShell命令可以添加IP：-DnsName "你的API主机名","192.168.x.x"）。
• 检查站点的「SSL设置」：进入站点→「SSL设置」，如果勾选了「要求SSL」，要确保HTTPS配置正常；如果没勾选，客户端可以同时访问HTTP和HTTPS，但仍需解决证书信任问题。
• 给应用程序池授权证书私钥访问权限：右键证书→「所有任务」→「管理私钥」，添加你的API应用程序池账户（格式是IIS AppPool\你的应用程序池名称），赋予「读取」权限——很多时候IIS进程没有私钥权限，会导致SSL握手失败。

三、Certify the Web免费证书的适配要点 #

Windows Server 2012 R2用Certify the Web时，需要先解决TLS版本兼容性问题：

• Let's Encrypt从2024年起不再支持TLS 1.0/1.1，而Windows Server 2012 R2默认没启用TLS 1.2，会导致Certify the Web无法连接ACME服务器生成证书：
  1. 打开注册表编辑器（regedit），导航到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
  2. 新建项TLS 1.2，然后在其下新建Client和Server两个子项
  3. 在Client和Server子项中，分别新建两个DWORD值：DisabledByDefault设为0，Enabled设为1
  4. 重启服务器后，再用Certify the Web生成证书。
• 生成证书时，确保你的API站点能正常响应HTTP-01验证请求（即http://你的API主机名/.well-known/acme-challenge/路径可以访问），否则Certify the Web无法完成域名验证。

四、额外排查工具 #

• 用命令netstat -ano | findstr ":443"确认443端口确实被IIS进程（通常是w3wp.exe）监听，排除其他进程占用端口的情况。
• 打开浏览器开发者工具（F12）查看网络请求的具体错误码：比如ERR_SSL_PROTOCOL_ERROR是SSL协议/证书问题，ERR_CONNECTION_RESET可能是端口或防火墙问题。
• 查看IIS日志（默认路径C:\inetpub\logs\LogFiles），检查HTTPS请求的状态码，判断请求是否到达IIS，以及具体的错误原因。

内容的提问来源于stack exchange，提问作者stacker