You need to enable JavaScript to run this app.
导航

安装证书到IIS服务器

最近更新时间2023.09.22 16:31:33

首次发布时间2022.11.03 20:34:32

证书签发后,您可以在火山引擎证书中心控制台下载证书。获得证书后,您必须将证书安装到服务器,才能使服务器支持HTTPS连接。本教程将指导您安装SSL证书到Internet Information Services(IIS)服务器。

前提条件

  • 您已经通过证书中心提交了SSL证书请求,并且SSL证书已经签发。
    如果您还没有提交SSL证书请求,请参见快速入门
  • 您的服务器的443端口是开放的。
    HTTPS通信的默认端口是443,因此只有当服务器开放了443端口,才能保证服务器能够处理客户端发起的HTTPS连接请求。

环境说明

本教程以以下环境为例介绍相关的操作步骤:

  • 服务器:

    • 操作系统:Windows Server 2012 R2
    • Web服务程序:Internet Information Services 8

    说明

    服务器环境不同,可能导致实际配置步骤与本文描述有差异。这种情况下,您需以实际环境为准,本文只用作参考。

  • 示例域名:ssl.example.com
    下图展示了没有安装SSL证书时,通过HTTP协议访问域名的结果。浏览器提示连接是不安全的。

教程概览

本教程将指导您导入证书到IIS服务器,并将证书绑定到您的网站。
具体步骤如下:

  1. 准备PFX格式的SSL证书
  2. 上传证书到IIS服务器
  3. 在MMC上导入证书
  4. 在IIS上绑定证书
  5. 验证证书是否配置成功

步骤1:准备PFX格式的SSL证书

IIS服务器要求安装的SSL证书是PFX格式的。PFX格式的证书文件中包含证书和私钥。只有当您将证书和私钥都托管在证书中心时,您才可以从证书中心下载PFX格式的证书文件。具体分为以下情形:

  • 证书请求使用了证书中心自动生成的CSR
  • 证书请求使用了您手动输入的CSR,同时您提供了对应的私钥

满足上述情形时,当您的证书签发后,您可以下载PFX格式的证书。如果不满足上述情形,则当您的证书签发后,您可以下载PEM格式的证书,然后自行使用工具将证书转换为PFX格式。

关于下载证书的具体操作,请参见下载证书

下载PFX格式的证书

证书中心控制台下载适配 IIS 服务器的证书压缩包到本地计算机。
alt

下载证书压缩包后,解压缩证书压缩包到本地计算机。证书压缩包名称为<CommonName>_iis。其中,<CommonName>表示证书颁发给的域名。解压缩后,您将获得以下文件:

  • <CommonName>.pfx:证书文件,包含证书和私钥。

  • keystorePass.txt:证书密码文件,包含证书密码。

    说明

    • 您每次下载证书时,系统都会随机生成一个与当前证书匹配的证书密码。证书密码保存在keystorePass.txt
    • 目前不支持您指定证书密码。

下载PEM格式的证书

证书中心控制台下载适配 其他 类型服务器的证书压缩包。下载证书压缩包后,解压缩证书压缩包到本地计算机。

证书压缩包名称为<CommonName>_other。其中,<CommonName>表示证书颁发给的域名。
解压缩后,您将获得以下文件:

  • <CommonName>.crt:证书文件。
  • <CommonName>.pem:证书文件(PEM 编码)。

接下来,您需要使用相应工具(如OpenSSL、Keytool等)将证书文件和您保管的私钥文件,转换成PFX格式的证书文件。关于证书格式转换的操作,请参见证书格式转换

步骤2:上传证书到IIS服务器

上传本地文件到远程服务器的方式有很多。本教程以使用远程桌面连接为例,介绍如何将证书从本地Windows计算机上传到IIS服务器。

  1. 在本地计算机,按 Win+R 键。

  2. 运行 窗口,输入 mstsc,并单击 确定

  3. 远程桌面连接 对话框,单击 显示选项

  4. 完成以下连接设置,然后单击 连接

    • 常规:输入要连接的IIS服务器的公网IP地址及登录用户名。

    • 本地资源:单击 详细信息,然后在 驱动器 菜单下,选中证书文件所在磁盘,并单击 确定
      本示例中,证书文件位于C盘,所以选中 本地磁盘(C:)

  5. (可选)如果出现 是否信任此远程连接 对话框,单击 连接

  6. 输入你的凭据 对话框,输入服务器用户的密码,并单击 确定

  7. (可选)如果出现是否信任服务器证书的对话框,单击 连接
      您将连接到远程服务器,并可以看到远程服务器的桌面。

  8. 在远程桌面上,单击底部菜单栏的文件夹图标。
      您将会看到 设备和驱动器 列表中包含之前选择的本地磁盘。

  9. 打开本地磁盘,将证书文件复制到远程桌面。

步骤3:在MMC上导入证书

  1. 在远程桌面上,打开Windows服务器控制台MMC(Microsoft Management Console)。

    说明

    如果您不清楚如何打开MMC,请尝试搜索mmc

  2. 添加证书管理单元。

    1. 在控制台的顶部菜单栏,选择 文件 > 添加/删除管理单元

    2. 添加或删除管理单元 对话框,从左侧 可用的管理单元 列表中单击 证书,并单击 添加

    3. 证书管理单元 对话框,选择 计算机账户,并单击 下一步

    4. 选择计算机 对话框,选择 本地计算机(运行此控制台的计算机),并单击 完成

    5. 添加或删除管理单元 对话框,单击 确定

  3. 控制台根节点 目录,展开 证书(本地计算机),然后在 个人 上单击鼠标右键,并选择 所有任务 > 导入

  4. 根据对话框提示,完成证书导入向导。

    1. 欢迎使用证书导入向导:单击 下一步

    2. 要导入的文件:单击 浏览,打开PFX格式的证书文件,单击 下一步

      说明

      在打开文件时,您必须先将文件类型设置为 个人信息交换(.pfx;.p12),然后再选择证书文件。

    3. 私钥保护:在 密码 文本框输入证书密码,并单击 下一步

      说明

      您可以从下载的keystorePass.txt文件中获取证书密码。如果您自己生成了PFX证书,请使用您在生成证书时设置的密码。

    4. 证书存储:选中 根据证书类型,自动选择证书存储,并单击 下一步

    5. 正在完成证书导入向导:单击 完成

    6. 收到 导入成功 的提示后,单击 确定

步骤4:在IIS上绑定证书

  1. 打开Internet Information Services(IIS)管理器。

    说明

    如果您不清楚如何打开IIS,请尝试搜索iis

  2. 展开左侧的 起始页,定位到要绑定证书的网站,然后单击网站名。

  3. 在右侧的 操作 导航栏,单击 绑定

  4. 网站绑定 对话框,单击 添加

  5. 添加网站绑定 对话框,完成网站的相关配置,并单击 确定
    网站绑定的具体配置如下:

    • 类型:选择 https

    • IP地址:选择服务器的IP地址。

    • 端口:默认为 443,无需修改。

    • 主机名:填写网站域名。

    • SSL证书:选择已导入的证书。

      说明

      如果您已导入多个SSL证书,可以单击 选择,然后在 选择证书 对话框,通过域名搜索对应的证书。

    完成配置后,您可以在 网站绑定 列表查看已添加的网站绑定。

  6. 网站绑定 对话框,单击 关闭

步骤5:验证证书是否配置成功

注意

进行验证操作前,请确保服务器已开放443端口。如果您的服务器因安全组、防火墙等策略,未允许443端口访问,请先修改对应策略。

打开本地计算机上的浏览器,使用HTTPS格式地址访问域名:https://ssl.example.com。成功建立连接后,在浏览器地址栏出现锁状图标,表示连接是安全的。

您可以单击锁状图标,查看连接详情。连接详情包含证书信息。

(可选)HTTP请求强制跳转为HTTPS请求

网站启用HTTPS通信后,您还可以通过URL重写工具,使终端用户的HTTP请求强制跳转为HTTPS请求,确保终端用户通过HTTPS访问您的Web服务。

  1. 在IIS服务器,下载并安URL重写工具

    您可以将URL重写工具安装包下载到本地计算机,然后通过远程桌面连接,将安装包上传到服务器。

    以下图片展示了URL重写工具的安装过程。


      安装URL重写工具后,您就可以在IIS面板中看到 URL重写 按钮。

  2. 添加URL重写规则。

    1. 在IIS面板,双击 URL 重写

    2. 在右侧操作栏,单击 添加规则

    3. 添加规则 对话框,单击 入站规则 区域的 空白规则,然后单击 确定

  3. 编辑入站规则。

    1. 为新增的入站规则设置一个名称。例如,redirect http to https

    2. 按如下方式,配置 匹配URL

      • 请求的URL与模式匹配
      • 使用正则表达式
      • 模式(.*)

    3. 按如下方式,添加条件

      • 条件输入{HTTPS}
      • 检查输入字符串是否与模式匹配
      • 模式^OFF$

    4. 按如下方式,配置操作

      • 操作类型重定向
      • 重定向URLhttps://{HTTP_HOST}{REQUEST_URI}
      • 附加查询字符串:取消选中
      • 重定向类型永久(301)

  4. 在右侧操作栏,单击 应用

  5. 打开本地计算机上的浏览器,使用HTTP格式地址访问域名:http://ssl.example.com

    如果地址自动被转换为HTTPS格式,则表示HTTP请求已强制跳转为HTTPS请求。