为什么需要配置多个SSL证书？

在互联网安全日益重要的今天，HTTPS加密已成为网站标配。但对于使用IIS7.5的运维人员来说，当一台服务器需要托管多个HTTPS网站时，会遇到一个棘手问题：默认情况下IIS7.5一个IP地址只能绑定一个SSL证书。这就好比一家快递公司只有一个送货员（IP地址），却要同时配送多个小区的包裹（不同域名的HTTPS请求），而且每个小区都要求送货员出示特定的工作证（SSL证书）。

举个例子：假设你的服务器IP是192.168.1.100，上面运行着两个网站：

- www.company.com 使用Comodo颁发的证书

- shop.company.com 使用DigiCert颁发的证书

如果不进行特殊配置，当用户访问shop.company.com时，IIS会错误地返回www.company.com的证书，导致浏览器显示"证书不匹配"的安全警告。

SNI技术：解决多证书问题的钥匙

幸运的是，Windows Server 2008 R2的IIS7.5引入了SNI（Server Name Indication）技术支持。SNI就像是快递员随身携带的多张工作证，他能根据客户所在的小区（请求的域名）自动出示对应的工作证（SSL证书）。

SNI工作原理详解

1. 传统TLS握手：客户端只说"你好"，服务器就直接返回默认证书

2. SNI增强握手：客户端会在初始握手时说"你好，我要找shop.company.com"，服务器就能返回正确的证书

这就像你去参加一个多国会议：

- 没有SNI时：你只能用一种语言自我介绍

- 有SNI时：你可以先问"你说什么语言？"，然后选择合适的语言交流

IIS7.5配置多SSL证书详细步骤

前置条件检查

1. 操作系统要求：必须是Windows Server 2008 R2或更高版本

2. 浏览器支持：

- Chrome v6+

- Firefox v2+

- IE7+（需Windows Vista/2008以上）

- Safari v3+（需OS X 10.5.6+/iOS4+）

注意：Windows XP上的IE不支持SNI！

实战配置流程

第一步：获取并安装多个SSL证书

```powershell

示例：使用PowerShell导入PFX格式证书

Import-PfxCertificate -FilePath "C:\certs\shop_company_com.pfx" `

-CertStoreLocation Cert:\LocalMachine\My `

-Password (ConvertTo-SecureString -String "YourPassword" -Force -AsPlainText)

```

第二步：为每个网站绑定HTTPS

1. 打开IIS管理器 → 选择站点 → "绑定"

2. 添加https类型绑定

3. 关键步骤：

- IP地址选择"全部未分配"或特定IP

- 端口保持443

- 主机名填写完整域名（如shop.company.com）

- SSL证书选择对应的那个


第三步：验证配置的正确性

```bash

使用OpenSSL测试(需安装OpenSSL)

openssl s_client -connect yourserver.com:443 -servername shop.yourserver.com | openssl x509 -noout -subject

预期输出应该显示shop.yourserver.com的证书信息。

SNI方案的优缺点分析

??优势方面

- 节省IP资源：不再需要为每个HTTPS网站分配独立IP

- 降低成本：避免购买额外IP地址的费用

- 灵活管理：可随时添加新的HTTPS站点而不影响现有服务

?局限性须知

1. 老旧客户端兼容性问题

- Windows XP上的IE用户会收到证书错误提示

- Java6及以下版本的客户端不支持

2. 特殊场景限制

```markdown

以下情况仍需使用独立IP：

* PCI DSS合规要求的特定支付系统

* VPN或其他非HTTP(S)的TLS服务

```

IIS7.5多SSL的最佳实践建议

1. 混合部署策略

```mermaid

graph LR

A[重要主站] -->|专用IP+独立端口| B(www.example.com:443)

C[次要站点] -->|SNI共享IP| D(blog.example.com:443)

E[内部系统] -->|SNI共享IP| F(intranet.example.com:443)

2. 监控与维护要点

- 定期检查各证书到期时间（建议设置日历提醒）

- 使用Qualys SSL Labs测试各域名的配置评分

```powershell

PowerShell检查所有安装的SSL证书有效期

Get-ChildItem Cert:\LocalMachine\My | Where { $_.Extensions | Where { $_OID.FriendlyName-eq "Subject Alternative Name"} } | Select Subject,NotAfter | Sort NotAfter

```

3.应急回滚方案

准备传统独立IP绑定的备份配置脚本：

```xml

SNI之外的替代方案比较

|方案类型 |所需资源 |兼容性 |管理复杂度 |

|--|-||-|

|SNI |共享1个IP |现代浏览器好 ★★★★☆|中 ★★★☆☆|

|独立IP |每个站点1个IP |100%兼容 ★★★★★|高 ★★☆☆☆|

|多端口 |共享IP |-需记住端口号 ★★☆☆☆|-用户体验差 ★☆☆☆☆|

|通配符/Wildcard|-仅限子域名相同|-不适用跨域情况 ★★★☆☆|-私钥风险高 ★★☆☆☆|

> ??专家提示：对于电商平台的主支付页面仍建议使用独立IP的传统方式确保最大兼容性。

IIS7到新版的变化演进

```timeline

title IIS SSL功能演进时间轴

section Windows Server版本

2003 (IIS6) :仅支持单证书记录

2008 R2 (IIS7.) :引入基础SN支持

2012 (II8.) :TLS12默认启用

2025 (II10) :HTTP/2支持优化

2025 (II10) :自动证书记录(Auto-SNI)

通过本文详细的步骤解析和技术原理说明，您现在应该能够在II75上成功部署多个SS证书记录了。记住在实际生产环境中变更前一定要在测试环境充分验证并做好备份！

TAG:iis7.5多个ssl证书,ssl证书有几种,ssl证书的作用,ssl证书内容是什么,ssl证书工作原理,ssl证书做什么用的,ssl证书和https,ssl证书原理讲解,ssl证书贵的和便宜的区别,ssl证书分哪几种