为什么需要配置多个SSL证书？

想象一下你是一家电商公司的运维人员，公司运营着三个网站：主商城(www.example.com)、会员中心(member.example.com)和支付系统(pay.example.com)。这三个站点都运行在同一台IIS7服务器上，但都需要使用HTTPS加密连接。这就是典型的"一个服务器多个SSL证书"场景。

在HTTP/1.1时代，由于SNI(服务器名称指示)扩展尚未普及，一个IP地址通常只能绑定一个SSL证书。这导致很多企业不得不为每个HTTPS站点分配独立IP地址，不仅增加了成本，还浪费了宝贵的IPv4资源。

但随着技术发展(特别是SNI的广泛应用)，现在我们可以轻松地在IIS7上为不同网站配置不同的SSL证书，即使它们共享同一个IP地址。下面我就详细讲解具体操作方法。

准备工作：检查你的环境是否支持SNI

在开始之前，我们需要确认两件事：

1. 客户端浏览器是否支持SNI：现代浏览器(Chrome、Firefox、Edge、Safari等)都支持SNI

2. 服务器操作系统版本：Windows Server 2008 R2及更高版本的IIS7都支持SNI

可以通过以下PowerShell命令检查你的IIS是否支持SNI：

```powershell

Get-WebBinding -Protocol "https" | Select-Object -Property *

```

如果输出中包含`hostheader`字段且值为你的域名，说明已经使用了SNI功能。

第一步：获取并安装SSL证书

假设我们需要为两个网站配置不同的SSL证书：

1. www.example.com - 使用DigiCert颁发的证书

2. api.example.com - 使用Let's Encrypt颁发的证书

操作步骤：

1. 从证书颁发机构(CA)获取两个域名的证书文件(.crt)和私钥文件(.key)

2. 将两个证书导入服务器的"个人"证书存储区：

- 打开MMC控制台(运行`mmc`)

- 添加"证书"管理单元

- 选择"计算机账户"

- 导航到"个人→证书"

- 右键导入两个证书

> 专业提示：可以使用以下命令批量导入PFX格式的证书：

> ```powershell

> Import-PfxCertificate -FilePath C:\certs\www_example_com.pfx -CertStoreLocation Cert:\LocalMachine\My -Password (ConvertTo-SecureString -String "yourpassword" -Force -AsPlainText)

> ```

第二步：在IIS中绑定多个SSL证书

现在进入核心操作环节：

1. 打开IIS管理器

2. 选择第一个网站(如Default Web Site)：

- 右键点击 → "编辑绑定"

- 添加类型为https的绑定

- SSL证书选择对应域名的那个(如www.example.com)

3. 选择第二个网站(如API Site)：

- 同样添加https绑定

- SSL证书选择另一个域名对应的那个(如api.example.com)

关键点在于确保每个网站的HTTPS绑定的"主机名"字段填写正确的域名。

SNI vs IP-Based SSL的区别

这里涉及到两种多站点HTTPS实现方式：

| | SNI方式 | IP-Based方式 |

|-|--|--|

| IP需求 | 共享同一个IP | 每个站点需要独立IP |

|兼容性 |要求客户端支持SNI |所有客户端都兼容 |

|成本 |无需额外IP费用 |需要购买多个IP地址 |

|配置复杂度|简单 |较复杂 |

对于大多数现代应用场景，我们推荐使用SNI方式。只有在需要支持老旧客户端(如Windows XP上的IE6)时才考虑IP-Based方式。

HTTPS绑定的最佳实践

根据我的实战经验，分享几个关键技巧：

1. 绑定顺序很重要：将最常用的网站放在绑定列表顶部可以提高匹配效率

2. 禁用不必要的协议：在注册表中禁用不安全的协议版本(TLS1.0/1.1)

3. 定期更新绑定：当续期或更换SSL证书记得更新对应的绑定

4. 监控到期时间：建议设置监控提醒所有安装的SSL证书记录到期时间

可以使用这个PowerShell脚本检查所有绑定的SSL证书记录到期时间：

Get-ChildItem IIS:\SslBindings | ForEach-Object {

$cert = Get-Item $_.Thumbprint -ErrorAction SilentlyContinue

if ($cert) {

[PSCustomObject]@{

IPAddress = $_.IPAddress

Port = $_.Port

HostName = $_.HostName

Subject = $cert.Subject

Expires = $cert.NotAfter

DaysRemaining = ($cert.NotAfter - (Get-Date)).Days

}

}

} | Format-Table -AutoSize

常见问题排查指南

遇到问题？试试这些解决方案：

Q1: Chrome显示"ERR_SSL_VERSION_OR_CIPHER_MISMATCH"

可能原因：

- IIS没有启用TLS1.2协议支持

解决方案：

Windows Server上启用TLS1.2的命令:

Set-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' 'Enabled' '0xffffffff'

Set-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' 'DisabledByDefault' '0'

Q2: IE8等老旧浏览器无法访问HTTPS站点

- SNI不被老浏览器支持

要么放弃这些老旧客户端的支持（建议），要么为关键业务系统分配独立IP地址采用传统方式部署。

Q3: SSL握手时间过长导致性能问题

优化建议：

1. OCSP装订（Stapling）可以减少握手延迟:

IIS8+默认启用OCSP装订,可以检查状态:

Get-WebConfigurationProperty '/system.webServer/ocsp' 'enabled'

2. HTTP/2协议可以显著提升性能（需Windows Server2025+）

HTTPS性能优化小贴士

最后分享几个提升HTTPS性能的技巧：

1.会话恢复(Session Resumption):

```powershell

IISCrypto工具可以方便地配置这些参数,或者手动修改注册表:

New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\" `

"ServerCacheTimeMilliseconds" `

Value=3600000 `

PropertyType=DWORD `

Force

2.启用HSTS头(强制HTTPS):

```xml

3.优化密码套件顺序:把ECDHE算法优先排列以提高安全性和性能。可以使用免费工具[IISCrypto](https://www.nartac.com/Products/IISCrypto/)一键优化。

通过以上步骤和技巧，你应该能够在单台Windows Server上的同一台Web服务器上成功部署多个不同域名的HTTPS站点。这种方案既节省了宝贵的公网IPv4资源，又满足了现代Web应用的安全需求。如果在实施过程中遇到任何问题欢迎留言讨论！

TAG:iis7添加多个ssl证书,https证书错误怎么解决,浏览器https证书存在错误,访问网站提示证书错误,网站证书错误,网址提示证书错误,https网站证书错误,https证书验证,https证书获取,https证书验证太慢