什么是SSL证书？

在开始讲解IIS6 SSL证书配置之前，我们先要理解SSL证书是什么。简单来说，SSL（Secure Sockets Layer）证书就像网站的"身份证"和"保险箱"的结合体。它有两个主要作用：

1. 身份认证：证明这个网站确实是它声称的那个网站，不是钓鱼网站

2. 数据加密：在你和网站之间建立一个加密通道，防止别人偷看你们交流的内容

举个例子，当你在网上银行输入账号密码时，如果地址栏有个小锁图标（表示启用了SSL），就说明你的信息是加密传输的；如果没有这个小锁，你的密码可能就会被黑客轻易截获。

为什么IIS6需要配置SSL证书？

虽然IIS6已经是比较老的Web服务器版本，但仍有不少企业在使用。为IIS6配置SSL证书至关重要：

1. 保护敏感数据：用户登录信息、信用卡号等

2. 提升信任度：浏览器会显示安全标识

3. 符合合规要求：如PCI DSS支付行业标准

4. SEO优势：Google给HTTPS网站排名加分

比如一个电商网站如果不配置SSL，顾客在结账时可能会看到浏览器警告"此连接不安全"，导致订单流失。

SSL证书类型选择

在配置前，你需要选择合适的证书类型：

1. DV（域名验证）证书：

- 只验证域名所有权

- 颁发速度快（几分钟到几小时）

- 适合个人博客、测试环境

- 价格便宜甚至免费（如Let's Encrypt）

2. OV（组织验证）证书：

- 验证企业真实性

- 显示公司名称在证书详情中

- 适合企业官网

- 需要1-3天审核

3. EV（扩展验证）证书：

- 最严格的验证流程

- 浏览器地址栏显示绿色公司名

- 适合银行、金融机构

- 价格较高，审核需3-7天

例如：一个小型个人博客用DV证书就够了；而像京东这样的大型电商则需要EV证书来增强用户信任。

IIS6 SSL证书申请流程

第一步：生成CSR（证书签名请求）

CSR就像你向CA（证书颁发机构）提交的"申请表"，包含你的服务器信息和公钥。

具体步骤：

1. 打开IIS管理器 → 选择服务器节点 → "服务器证书"

2. 点击"创建证书请求"

3. 填写信息：

- 通用名称(CN)：要保护的域名（如www.example.com）

注意：这里必须准确匹配你要使用的域名，"example.com"和"www.example.com"被视为不同域名！

- 组织(O)：公司法定名称（必须与营业执照一致）

- 组织单位(OU)：部门名称（如IT Dept）

4. 选择加密算法和密钥长度：

建议选择RSA算法，2048位密钥长度。1024位已不安全！

CSR常见错误示例：

错误案例1：

```

通用名称填写了IP地址192.168.1.100

→ SSL/TLS标准不允许IP作为CN(除非是IP SSL特殊类型)

错误案例2：

组织名称填写了品牌名而非注册公司名

→ "京东商城"(品牌名)应该写为"北京京东叁佰陆拾度电子商务有限公司"(营业执照名)

CSR生成后的文件：

你会得到两个文件：

1. .txt或.csr文件 → 提交给CA的申请文件

2. .key私钥文件 → *必须妥善保管*！丢失后将无法安装SSL！

IIS6 SSL安装步骤详解

假设你已经从CA获得了.crt格式的SSL证书文件：

Step1:导入服务器证书

1. IIS管理器 → "服务器节点" → "服务器证书"

2. "处理挂起的请求..." →选择你收到的.crt文件

Step2:绑定HTTPS站点

1.右键目标网站→属性→"网站"选项卡→点击IP地址旁的"高级"

2."添加..."→设置:

- IP地址:通常选"(全部未分配)"

- TCP端口:443(HTTPS默认端口)

-主机头值:留空(除非做SNI多域名)

3."确定"

Step3:强制HTTPS跳转(可选但推荐)

编辑网站的根目录下的web.config或通过ISAPI筛选器实现HTTP自动跳转到HTTPS。

示例代码片段:

```xml

IIS6 SSL常见问题排查手册

Q1:访问HTTPS出现空白页或连接重置？

可能原因及解决方案：

- 443端口被防火墙拦截

检查Windows防火墙和网络硬件防火墙规则

- 未正确绑定443端口

重新检查站点绑定设置

- 使用了自签名测试证书记录未被清除

运行`certmgr.msc`删除所有相关测试证书记录

Q2:浏览器提示"安全连接失败/ERR_SSL_PROTOCOL_ERROR"

典型排查步骤：

1)确认客户端支持SNI(现代浏览器都支持)

2)检查是否同时存在多个相同IP+443端口的绑定导致冲突

3)尝试更换其他浏览器测试是否为本地缓存问题

真实案例分享:

某客户遇到此错误后发现是因为他们使用了过时的Java应用调用网页服务,而该Java环境仅支持TLS1.0,IIS6默认已禁用TLS1.0导致握手失败。解决方案是在注册表启用TLS1.0兼容模式。

Q3:如何检测我的IIS6 SSL配置是否正确？

推荐使用以下在线工具检测:

- [Qualys SSL Labs](https://www.ssllabs.com/ssltest/)

- [DigiCert安装检查工具](https://www.digicert.com/help/)

这些工具会详细列出:

?使用的加密套件强度

?协议版本支持情况

?信任链完整性

?OCSP装订状态等

IIS6特有的高级技巧集锦

虽然IIS6较老,但仍有一些实用技巧:

Tip1:单个IP托管多个HTTPS站点 (非SNI方案)

由于IIS6不支持SNI技术,传统实现方式是:

?为每个站点分配独立IP地址

?使用主机头+通配符(*.)或多域名(SAN)证书记录

示例操作:

```powershell

Windows Server2003命令行添加额外IP:

netsh interface ip add address "本地连接"1921681100102552552550

Tip2:优化性能的注册表调整项

适用于高并发场景的关键参数调整:

```regedit

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]

增加TLS会话缓存时间(秒)

"SslSessionTimeout"="3600"

启用会话票据减少握手开销

"SslSessionTicketKey"="[二进制值]"

注意修改注册表前务必备份!

IIS7+升级迁移注意事项

如果你计划从IIS6升级到新版,关于SSL部分需要注意:

?新版支持更安全的TLS12/13协议

?原生支持SNI技术节省IP资源

?图形界面操作更直观

但迁移过程中需特别注意:

?私钥需要导出备份(.pfx格式)

?检查应用是否依赖特定加密套件

?更新所有硬编码的http://链接

实际案例参考:

某医院系统升级后发现PACS影像系统无法调阅,原因是其DICOM组件只认特定的RC4加密算法,而新系统默认禁用RC4。最终通过自定义密码套件顺序解决。

Final Checklist安装后必查清单

完成所有配置后,请逐一核对:

?使用不同设备/网络访问测试

?确保没有混合内容警告(图片/js/css也要https加载)

?设置日历提醒续费时间(通常每年一次)

?备份完整的.pfx文件包并安全存储

记住一个原则:"一次正确的SSL部署胜过十次紧急修复"。希望这份详尽的指南能帮助你顺利完成IIS6的SSL配置工作!

TAG:iis6ssl证书配置,iis部署ssl证书,iis证书安装教程,iis 证书配置,ssl证书配置教程,iis创建证书申请