什么是DV SSL证书？

DV SSL证书（Domain Validation SSL Certificate）是最基础的SSL证书类型，它只验证申请者对域名的所有权。相比OV（组织验证）和EV（扩展验证）证书，DV证书颁发速度更快（通常几分钟到几小时），价格也更便宜。

举个生活例子：想象你是一个房东，DV证书就像只检查租客的身份证（域名所有权），而不去核实他的工作单位或收入证明（组织信息）。虽然验证简单，但已经足够保障基本安全。

为什么需要在IIS7.5上部署多个SSL证书？

现代网站架构中，一个服务器经常需要承载多个网站或服务。比如：

1. 公司官网：www.example.com

2. 客户门户：client.example.com

3. API接口：api.example.com

每个子域名都需要独立的SSL加密连接。在IIS7.5时代（Windows Server 2008 R2），SNI（Server Name Indication）技术已经成熟支持这种多证书场景。

技术小知识：SNI就像是快递员送快递时先看门牌号再投递。客户端在TLS握手初期就告诉服务器它要访问哪个域名，服务器就能返回正确的证书。

IIS7.5部署多SSL证书的详细步骤

准备工作

1. 获取多个DV SSL证书：

- 可以从DigiCert、Comodo、Let's Encrypt等CA获取

- 确保每个证书对应不同的域名或子域名

2. 检查系统要求：

- Windows Server 2008 R2

- IIS7.5已安装

- 管理员权限

具体操作步骤

第一步：导入第一个SSL证书

1. 打开IIS管理器 → 点击服务器名称 → 双击"服务器证书"

2. 导入第一个证书：

```powershell

右键 → "导入" → 选择.pfx文件 → 输入密码 → 确定

```

3. 绑定到第一个网站：

- 右键目标网站 → "编辑绑定"

- 添加HTTPS绑定 → 选择刚导入的证书

- IP地址选择"全部未分配"，端口443

- "主机名"填写完整域名(如www.example.com)

第二步：处理第二个及后续证书

关键点来了！传统方式下IIS只能为每个IP地址分配一个SSL证书。要实现多站点共享443端口，必须：

1. 确保启用SNI支持：

在添加HTTPS绑定时勾选"需要服务器名称指示(SNI)"

2. 为第二个网站添加绑定示例：

类型: https

IP地址: (与第一个相同)

端口:443

主机名: client.example.com (必须与证书匹配)

选择第二个SSL证书

勾选SNI选项

PowerShell自动化脚本示例

对于批量操作，可以使用以下PowerShell命令：

```powershell

导入第二个PFX格式的DV SSL证书到本地计算机存储中

Import-PfxCertificate -FilePath C:\certs\client.pfx -CertStoreLocation Cert:\LocalMachine\My -Password (ConvertTo-SecureString "YourPassword" -AsPlainText -Force)

为新站点添加带有SNI的HTTPS绑定

New-WebBinding -Name "ClientSite" -Protocol "https" -Port443-HostHeader "client.example.com"

$cert = Get-Item Cert:\LocalMachine\My\

New-Item IIS:\SslBindings\0.0.0.0!443!client.example.com-value $cert

```

SNI技术的注意事项与限制

虽然SNI解决了主要问题，但仍需注意：

1. 老旧客户端兼容性：

*不支持SNI的浏览器*包括：

- Windows XP上的IE6/7/8(已淘汰)

- Android2.x默认浏览器(极少数旧设备)

2.监控建议：

```bash

使用OpenSSL测试SNI是否正常工作:

openssl s_client-connect example.com:443-servername client.example.com | grep "Certificate chain"

3.负载均衡环境特殊处理

如果前端有F5等负载均衡器,可能需要在F5上配置而不是直接在IIS操作。

HTTP/2性能优化技巧

部署多SSL后可以进一步优化:

1.合并相同CA的多个DV证书记录

```xml

2.OCSP装订配置

启用OCSP装订提高握手速度:

Set-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL-ServerHashesDisabled0xffffffff

TLS最佳实践推荐配置

最后给出一个安全配置模板:

同时建议在注册表中设置:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]

"Ciphersuite"="TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"

FAQ常见问题解答

Q:为什么我的Android4.x设备访问报错？

A:可能是该设备使用了不支持SNI的老旧WebView组件,考虑为该类用户提供备用访问端口。

Q:IIS日志中看到大量TLS握手失败记录？

A:使用Wireshark抓包分析,常见原因是客户端未发送SNI扩展导致返回了默认错误证书记录。

TAG:iis7.5部署多个dv ssl证书,iis多个协议,ssl证书部署多台服务器,要在iis上面设置多个站点,我们可以采取哪些方法,iis部署https