在互联网世界，SSL证书就像是网站的“身份证”和“防盗门”。当它过期时，用户访问你的网站会看到醒目的“不安全”警告，轻则流失客户，重则数据泄露。今天我们就以Windows服务器常用的IIS（Internet Information Services）为例，用最通俗的语言+实操案例，带你一步步完成SSL证书续期。

一、为什么SSL证书续期像“汽车年检”？

SSL证书通常有1-2年有效期（如Let's Encrypt只有90天），过期不续费就像：

- 案例1：某电商网站在大促当天证书过期，用户支付时浏览器弹窗警告，导致订单流失30%

- 案例2：医院预约系统证书失效后，患者隐私数据在传输中被黑客截获

专业提示：提前30天设置日历提醒！证书链中的根证书/中间证书更新也要关注（比如2025年旧版AddTrust根证书过期事件）。

二、IIS续期前的4项准备工作

1. 备份当前证书

- 操作路径：IIS管理器 → 服务器证书 → 导出.pfx文件（含私钥）

- *真实翻车案例*：某运维误删旧证书私钥，导致新证书无法匹配密钥对

2. 检查CSR信息一致性

新申请的CSR需与旧证书完全一致（域名、公司名称等），否则会出现：

```bash

错误示例 - 新旧域名不匹配

旧证书：www.example.com

新申请：example.com（缺少www前缀）

```

3. 确认服务器兼容性

尤其是TLS版本支持情况：

```powershell

PowerShell查看当前支持的协议

[Net.ServicePointManager]::SecurityProtocol

4. 选择验证方式

- DNS验证（适合多服务器集群）

- 文件验证（适合单服务器）

三、手把手IIS续期6步流程（配关键截图点）

?? Step1 生成CSR请求

在IIS的“服务器证书”中点击【创建证书申请】，注意：

- 密钥位长至少2048位（旧系统兼容性选4096）

- 通用名称(CN)必须包含主域名

?? Step2 CA机构重新签发

以DigiCert为例：

1. 登录控制台 → 选择【续订】而非新建

2. 粘贴CSR内容 → 选择验证方式

?? Step3 安装新证书

收到.crt文件后：

```powershell

通过PowerShell安装更可靠（避免GUI报错）

Import-Certificate -FilePath "C:\new_cert.crt" -CertStoreLocation Cert:\LocalMachine\My

```

?? Step4 IIS绑定更新

关键陷阱点：

- 不要删除旧绑定！先新增443端口绑定→测试→再删旧绑定

- SNI场景需逐个站点检查绑定情况

?? Step5 强制吊销旧证书记录某些CA机构要求手动吊销过期证书以避免冲突。

?? Step6 链式检查用OpenSSL验证完整性和信任链：

```bashopenssl s_client -connect yourdomain.com:443 -showcerts | openssl x509 -noout -text```

四、高级排错指南

? 常见错误1：ERR_SSL_VERSION_OR_CIPHER_MISMATCH可能原因：

- IIS未启用TLS1.2+

解决方法：

```xmlSsl,Tls,Tls11,Tls12```

?常见错误2：浏览器显示"Certificate Chain Incomplete"缺失中间证书时需手动安装CA Bundle。

五、自动化方案推荐对于频繁更新的场景建议使用：

|工具|适用场景|关键优势|

||||

|Certify The Web|单台Windows服务器|可视化自动续期|

|ACMEsharp脚本集群环境支持API批量管理|

六、延伸防护建议完成续期后建议立即：

1??使用Qualys SSL Labs测试评分（至少A级）

2??配置HSTS响应头强制HTTPS

3??设置OCSP装订提升性能

记住：SSL/TLS不是一劳永逸的配置。定期检查加密套件、协议版本等设置才能构建真正的安全防线。

TAG:iis ssl证书续期,ssl证书过期时间,ssl证书不续费还可以正常访问吗,ssl证书过期立刻无法访问吗