在网络安全领域，HTTPS早已成为网站安全的标配。但对于仍在使用老系统（如Windows Server 2003 + IIS6）的企业来说，配置HTTPS证书可能会遇到不少"坑"。本文将以IIS6 HTTPS证书配置为例，用最通俗的语言+实操案例，带你避开常见错误。

一、为什么IIS6也需要HTTPS？

虽然IIS6是20年前的老系统，但仍有部分企业因硬件兼容性或老旧业务系统被迫使用。不配置HTTPS的风险非常直观：

- 案例1：某制造企业的ERP系统跑在IIS6上，未启用HTTPS。攻击者通过咖啡厅WiFi截获了管理员账号密码，直接篡改了生产订单数据。

- 案例2：医院挂号系统因未加密传输，导致大量患者身份证号、病历信息被中间人窃取。

> ?? 关键点：即使是非互联网对内的系统（如OA、ERP），只要涉及敏感数据传输就必须启用HTTPS。

二、IIS6 HTTPS证书配置4大步骤

步骤1：获取合适的证书

- 自签名证书（仅测试用）：

打开IIS6的"Web服务器证书向导" → 选择"创建新证书" → 填写虚构的测试域名（如`test.local`）

- 正规CA证书（生产环境必须）：

推荐购买DigiCert/Sectigo等品牌的单域名证书（价格约200-500元/年）。需提前准备：

- 服务器公网IP或域名

- CSR文件（可通过IIS向导生成）

> ?? 避坑提示：部分CA已不支援SHA1算法签发的证书，务必选择SHA256！

步骤2：绑定证书到站点

1. IIS管理器 → 右键目标网站 → 属性 → "目录安全性"标签页

2. 点击"服务器证书"按钮 → 选择"分配现有证书"

3. 找到你导入的.pfx文件（需包含私钥）

```powershell

检查是否绑定成功（命令行执行）

netsh http show sslcert

```

?? 预期输出应看到你的IP:443端口和证书指纹对应关系

步骤3：强制HTTP跳转HTTPS（关键！）

IIS6原生不支持URL重写，需手动添加脚本：

1. 新建一个`redirect.js`文件，内容如下：

```jscript

var http = new ActiveXObject("MSXML2.XMLHTTP");

http.open("GET", "http://"+WScript.Arguments(0), false);

http.send();

if(http.status == 200) WScript.Echo(http.responseText);

2. 在默认网站的404错误页中调用此脚本实现跳转

步骤4：验证与加固

- 基础检查：

浏览器访问`https://你的域名` → 地址栏应有锁图标

使用[SSL Labs测试工具](https://www.ssllabs.com/ssltest/)扫描，确保无SSLv3等脆弱协议

- 高级加固（注册表修改）：

```reg

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]

"Protocols"=dword:00000800

禁用SSLv3

三、常见故障排查案例库

?问题1："安全通道失败"错误

- 现象：Windows XP客户端访问时报错

- 原因：XP默认不支持TLS1.2

- 解决：要么升级客户端系统，要么在服务器启用TLS1.0（不推荐）

?问题2："证书链不完整"

- 现象：Chrome显示红色警告页

- 原因：未安装中间CA证书

- 解决：

1. CA给你的zip包中通常有`CA-Bundle.crt`

2. MMC控制台 → "受信任的根证书颁发机构"导入该文件

?问题3："私钥丢失"

- 教训实录：某客户重装系统后才发现.pfx备份时没勾选"导出私钥"，导致原证书报废

- 预防措施：

certutil -exportPFX -p "密码" MY "SerialNumber" cert_with_key.pfx

备份带私钥的证书

四、终极建议：尽快升级！

尽管通过上述方法能让IIS6支持HTTPS，但仍有重大隐患：

1. IIS6已停止补丁支持，存在永恒之蓝等高危漏洞

2. TLS1.0/1.1已被主流浏览器禁用

??? 过渡方案建议：

在前端加装Nginx反向代理处理HTTPS卸载，既保留后端IIS6业务又能提升安全性。

> ?? *据统计，2025年仍暴露在公网的IIS6服务器全球约有12万台*。你的系统是否在其中？赶紧用[Shodan搜索](https://www.shodan.io/search?query=port%3A443+iis%2F6.0)自查吧！

希望这篇指南能帮助到你。如果遇到其他具体问题欢迎留言讨论！

TAG:iis6 https 证书,iis证书安装,iis创建证书申请,网站ssl证书,证书与iis结合实现web站点的安全性的核心步骤是什么,iis ssl证书