****

当我们需要在本地或内网测试HTTPS网站时，购买商业SSL证书既不划算又麻烦。这时，自签名SSL证书就成了开发者和运维人员的"救星"。本文将以Windows IIS服务器为例，用最通俗的语言带你一步步创建自签名证书，并解释背后的安全原理。

一、什么是自签名SSL证书？

想象你要开一家银行，商业SSL证书就像央行颁发的营业执照，而自签名证书则是你自己手写的"本店可信"声明。技术上来说：

- 商业证书：由DigiCert、Let's Encrypt等权威机构签发，浏览器自动信任

- 自签名证书：自己充当CA（证书颁发机构），仅限测试或内部使用

典型场景举例：

1. 开发团队测试支付功能时模拟HTTPS环境

2. 公司内网OA系统加密通信

3. 物联网设备本地管理界面（如路由器后台）

二、IIS创建自签名证书全流程（图文版）

步骤1：打开IIS管理器生成证书

1. Win+R输入`inetmgr`打开IIS管理器

2. 点击服务器名称 → 选择【服务器证书】

3. 右侧操作栏点击【创建自签名证书】


*（示意图：注意"为以下名称创建证书"填写你的域名或服务器IP）*

步骤2：绑定到网站

1. 右键目标网站 → 【编辑绑定】

2. 添加HTTPS类型绑定 → 选择刚创建的证书

3. 端口默认443（需确保防火墙放行）

三、为什么浏览器会警告？如何解决？

当你访问使用自签名的网站时，会看到这样的警告：

> "您的连接不是私密连接"

> NET::ERR_CERT_AUTHORITY_INVALID

原因解析：

这就像陌生人递给你一张自制身份证——浏览器无法验证这张"身份证"的真伪。解决方法有：

1. 临时绕过（仅限测试）：

- Chrome输入`thisisunsafe`（页面聚焦时直接敲键盘）

- Edge点击"高级"→"继续前往"

2. 添加信任根证书（适合内网）：

```powershell

导出证书后双击安装到"受信任的根证书颁发机构"

certmgr.msc

```

四、自签名 vs Let's Encrypt实战对比

| 对比项 | 自签名证书 | Let's Encrypt免费证书记录器书 |

||-|--|

| 有效期 | 自定义（建议不超过1年） | 90天自动续期 |

| 信任范围 | 需手动导入才被信任 | 所有主流浏览器自动信任 |

| **适用场景记录器录器记录器录器记录器录器记录器录器记录器录器记录器录器记录器录器记录

TAG:iis ssl证书 自签名,iis 自建证书,iis配置ssl证书,自定义ssl证书,ssl证书自签发