在互联网世界里，SSL证书就像是网站的"安全锁"，它能加密用户和服务器之间的通信，防止数据被窃取。而IIS（Internet Information Services）作为Windows系统常用的Web服务器，正确配置和管理SSL证书至关重要。今天我们就用最通俗的语言，结合具体场景，教你如何查看IIS中的SSL证书。

一、为什么要查看IIS SSL证书？

想象一下你去银行网站转账，如果地址栏没有那个"小锁"图标（即SSL保护），你敢输入密码吗？同理，管理员需要定期检查SSL证书：

- 过期预警：就像食品有保质期，证书也有有效期（通常1-2年）。去年某电商因证书过期导致全网无法支付，损失超百万。

- 配置验证：曾有名企内部测试环境误用生产证书，引发安全审计失败。

- 漏洞排查：2025年OpenSSL漏洞爆发时，需快速确认服务器是否使用受影响版本签发的证书。

二、4种实用查看方法（附截图级步骤）

方法1：通过IIS管理器直接查看

适用场景：快速验证单个站点的证书信息

1. 打开【IIS管理器】→ 左侧点击目标站点

2. 右侧操作栏找到【绑定】→ 选择HTTPS类型的绑定

3. 点击【查看...】按钮 → 弹出窗口显示完整证书信息

*关键字段解读*：

- 颁发给：应该完全匹配你的域名（比如`www.example.com`）

- 颁发者：正规CA如DigiCert、Let's Encrypt等

- 有效期至：红色日期表示已过期

方法2：使用MMC控制台批量查看

适用场景：服务器上有多个证书时需要集中管理

1. Win+R输入`mmc`回车 → 【文件】→【添加/删除管理单元】

2. 选择【证书】→ 【计算机账户】→ 【本地计算机】

3. 展开【个人】→【证书】，这里会列出所有已安装的证书

*实战技巧*：

按F3搜索域名可快速定位特定证书。曾有个案例发现黑客偷偷安装了仿冒Gmail的假证书实施中间人攻击。

方法3：命令行工具certmgr

适用场景：无法使用图形化界面时的应急检查

```powershell

certmgr /list /store My

```

这会列出所有个人存储区的证书。要导出详细信息可追加：

certmgr /list /store My > C:\certs.txt

方法4：浏览器直接检查

在Chrome中访问网站后：

1. 点击地址栏的锁图标 → 【连接是安全的】→ 【证书有效】

2. 这里能看到完整的证书链，特别适合检查CDN等第三方服务的配置

三、高级排查技巧

?? 案例1：发现"幽灵证书"

某次安全巡检中，管理员通过PowerShell脚本批量导出所有证书指纹时，意外发现一个不属于任何业务的Symantec旧版根证书。经查是某离职员工私自安装的测试证书，存在SHA-1哈希算法漏洞风险。

?? 案例2：多域名匹配问题

当站点使用SAN（主题备用名称）证书时：

Get-ChildItem -Path cert:\LocalMachine\My | Where-Object {

$_.DnsNameList -contains "shop.example.com"

}

这条命令可精准筛选包含特定域名的所有SAN扩展名。

四、自动化监控方案

企业级环境中推荐：

1. Zabbix监控：通过`cert_check`插件提前30天邮件告警

2. PowerShell脚本：（每周自动运行）

$certs = Get-ChildItem -Path cert:\LocalMachine\My

$alert = $certs | Where { $_.NotAfter -lt (Get-Date).AddDays(30) }

if ($alert) { Send-MailMessage -To "admin@example.com" -Subject "即将过期的SSL证书记录！" }

五、避坑指南

? 常见错误1："此CA根目录不受信任"警告

????原因分析："中级CA丢失"，需要补全完整的信任链

? 常见错误2："名称不匹配"报错

????解决方案：【双击打开问题证书记录】，核对DNS名称是否包含裸域名（如需同时支持example.com和www.example.com）

掌握这些方法后，你就能像专业安全运维人员一样轻松驾驭SSL证书记录了。记住再好的加密锁也需要定期检查——毕竟网络安全就是由这些日常细节堆砌起来的防线！

TAG:iis ssl证书查看,iis证书安装教程,ssl查询网站,查看ssl证书过期时间,ssl证书查询