****

如果你在用IIS（Internet Information Services）搭建网站时，发现HTTPS死活不生效，浏览器疯狂弹出“不安全”警告，多半是SSL证书配置出了问题。别急！今天咱们就用最直白的语言，拆解IIS中SSL证书配置的常见坑点，手把手带你排雷。

一、为什么SSL证书配置会失败？

SSL证书就像网站的“身份证”，告诉浏览器：“我是正规网站，数据加密传输请放心”。但如果IIS里配置不当，就会出现：

- 错误1：证书没绑定到正确端口

比如只绑定了80端口（HTTP），却忘了443端口（HTTPS）。就像给家门装了锁（SSL），但窗户（HTTP）大敞四开。

- 错误2：证书和域名不匹配

证书是为`www.example.com`申请的，但实际绑定了`example.com`（不带www）。这相当于用A的身份证冒充B，浏览器当然会报警。

*举例*：某企业官网用了通配符证书`*.company.com`，但误将子域名`shop.company.com`写成`shop.company.net`，导致HTTPS失效。

二、5个高频错误及解决方案

1. 证书未正确导入IIS

- 现象：在IIS的“服务器证书”列表里找不到已购买的证书。

- 原因：可能漏了导入步骤，或导入时选了错误的存储位置。

- 解决：

1. 打开IIS管理器 → 点击服务器名称 → 进入“服务器证书”。

2. 选择“导入”，上传`.pfx`文件（需包含私钥），输入密码。

3. *关键点*：存储位置选“个人”（如下图）。

2. 网站绑定未启用HTTPS

- 现象：访问HTTPS网址显示连接重置。

- 检查步骤：

1. 右键网站 → “编辑绑定” → 确认有443端口的HTTPS绑定。

2. SSL设置中勾选“要求SSL”（强制跳转HTTPS）。

*举例*：某电商站配置后仍走HTTP，发现是绑定443端口时忘了选刚导入的证书。

3. SNI（服务器名称指示）未启用

- 场景：一台服务器托管多个HTTPS网站。

- 问题：旧版IIS默认不支持SNI，会导致只有第一个站点能正常用HTTPS。

1. IIS 8+版本可在绑定时勾选“需要服务器名称指示”。

2. 老旧系统建议升级或为每个站点分配独立IP。

4. 中间证书缺失

- 现象：浏览器提示“该证书不受信任”。

- 原因：只安装了域名证书，漏了中间CA证书（如DigiCert、Sectigo等）。

- 修复方法：

1. 从CA机构下载中间证书链（通常为`.crt`文件）。

2. 在服务器上通过MMC控制台→“受信任的根颁发机构”手动安装。

5. 加密套件配置不当

- 高级问题：虽然HTTPS能打开，但安全扫描显示漏洞。

- 优化方案：

1. 用工具[IISCrypto](https://www.nartac.com/Products/IISCrypto)一键禁用老旧协议（如SSLv3）。

2. 优先选择TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384等强套件。

三、终极验证工具

配置完别急着收工！用这些工具检查：

1. [SSL Labs](https://www.ssllabs.com/ssltest/)

输入域名一键检测，连过期的TLS协议都会标红警告。

2. 浏览器开发者工具

按F12→Security标签页，查看证书有效期和信任链。

四、避坑表

|问题现象|可能原因|快速自查|

||||

|HTTPS无法访问|端口未绑定/证书未选择|检查站点绑定443端口|

|浏览器提示“不安全”|中间证书缺失|用SSL Labs测试信任链|

|部分设备无法连接|加密套件不兼容|更新TLS协议版本|

如果以上方法还搞不定？可能是更隐蔽的问题比如组策略限制或防火墙拦截。这时候就该祭出终极武器——查看Windows事件查看器中的“应用程序日志”，搜索关键词“Schannel”往往能找到线索。

记住：SSL配置是个精细活，就像拼乐高——少一块积木整个房子都会塌。一步步排查，你的HTTPS小绿锁一定会稳稳出现！

TAG:iis ssl不设置证书配置,设置iis不能访问网站,iis 安装ssl证书,iis部署ssl证书,ssl证书如何配置