****

如果你负责管理Windows服务器，很可能遇到过IIS（Internet Information Services）提示SSL证书错误的糟心情况。这种错误不仅会导致网站显示“不安全”警告，还可能直接阻断用户访问。本文会用最直白的语言，带你快速定位问题根源，并提供“手把手”级别的解决方案。

一、为什么IIS会出现SSL证书错误？

SSL证书就像网站的“身份证”，而IIS是负责展示这张身份证的“保安”。当保安发现身份证有问题（比如过期、信息不符或格式不对），就会触发错误。常见的错误类型包括：

- 证书过期（就像用过期身份证乘飞机）

- 域名不匹配（像拿着A公司的工牌进B公司）

- 证书链不完整（好比只带了身份证复印件，没带原件）

- 加密算法过时（类似用老式密码锁保护金库）

二、5种典型错误场景与解决方案

1. 错误提示："此证书已过期"

?? 案例重现：

用户访问网站时浏览器显示红色警告：“您的连接不是私密连接”，检查证书发现有效期至2025年1月1日。

? 解决方法：

- 登录证书颁发机构（如DigiCert、Let's Encrypt）续订证书

- IIS操作步骤：

1. 打开【IIS管理器】→点击服务器名称→进入【服务器证书】

2. 删除旧证书→导入新证书

3. 在网站绑定中重新选择新证书

?? 注意：建议提前30天续订，避免因DNS缓存导致延迟生效。

2. 错误提示："安全证书上的名称无效"

为`www.example.com`申请的证书，但用户通过`example.com`（不带www）访问时触发警告。

- 方案一：购买支持多域名的通配符证书（`*.example.com`）

- 方案二：在IIS中设置URL重定向，强制统一域名访问

?? 操作示例（URL重定向）：

```xml

```

3. 错误提示："无法建立信任链"

?? 根本原因：

中间证书缺失（常见于自签名或免费证书）。就像你出示身份证，但警察找不到发证机关的信息。

1. 从颁发机构下载中间证书（通常为`.crt`或`.p7b`文件）

2. IIS操作路径：【服务器证书】→【导入】→选择中间证书

?? 验证工具推荐：使用[SSL Labs测试工具](https://www.ssllabs.com/ssltest/)，可直观看到证书链完整性。

4. SCHANNEL错误日志报错

?? 典型日志内容：

`Event ID 36874: The certificate received from the remote server does not match any of the allowed certificates...`

? 排查步骤：

1. 打开【事件查看器】→【Windows日志】→【系统】

2. 检查SCHANNEL相关错误代码

3. 根据微软官方文档调整TLS协议版本（如禁用已淘汰的TLS 1.0/1.1）

5. IIS重启后证书失效

?? 高频场景：

服务器重启后，部分网站突然出现SSL握手失败。

? 根治方案：

- 原因1: HTTP.sys未加载证书

解决命令：

```

netsh http show sslcert

netsh http delete sslcert ipport=0.0.0.0:443

netsh http add sslcert ipport=0.0.0.0:443 certhash=YOUR_CERT_THUMBPRINT appid={YOUR_APP_GUID}

- 原因2: NT AUTHORITY\NETWORK SERVICE账户权限不足

解决路径：【MMC】→添加【证书管理单元】→给该账户赋予私钥读取权限

三、终极预防建议

1?? 监控工具配置：使用Zabbix或Prometheus监控SSL到期时间

2?? 自动化续签脚本示例（适用于Let's Encrypt）：

```powershell

Import-Module Posh-ACME

Set-PAServer LE_PROD

Renew-PACertificate example.com -Install -InstallDirectory "C:\certs\"

3?? 定期检查清单表：

|检查项|频率|工具|

||||

|有效期|每周|Certify The Web|

|加密强度|每月|Nmap (`nmap --script ssl-enum-ciphers`)|

|协议兼容性|季度更新|IISCrypto|

遇到复杂问题别硬扛！记住微软官方排错三板斧：

1) `Repair-IISWebSiteCertBinding`

2) `netsh trace start scenario=NetConnection capture=yes`

3) Wireshark抓包分析TLS握手过程

希望这份指南能帮你从“救火队员”变成“防患于未然”的安全专家！如果有其他具体场景欢迎留言讨论~

TAG:iis ssl证书错误,ssl证书无效,是否继续访问,sslcertverificationerror,ssl证书无效该怎么办,ssl证书异常,iis配置ssl证书