在网络安全领域，HTTPS加密已成为网站标配。但对于预算有限或测试环境，购买SSL证书可能不现实。本文将详细介绍如何在IIS（Internet Information Services）上配置SSL加密免证书，通过自签名证书实现HTTPS访问，既保障基础安全又节省成本。

一、为什么需要SSL加密？先看两个真实案例

案例1：咖啡店Wi-Fi钓鱼

2025年某连锁咖啡店的公共Wi-Fi被黑客利用，通过中间人攻击窃取用户登录信息。如果网站强制HTTPS，即使连接被监听，传输的数据也是加密的，黑客无法直接获取明文密码。

案例2：企业内部系统数据泄露

某公司HR系统使用HTTP协议，内部员工在局域网内即可用Wireshark抓包看到同事的薪资信息。改用HTTPS后，所有数据包变为加密乱码。

> 关键点：SSL/TLS协议就像给数据装上了"防窥保险箱"，即使被截获也无法直接读取内容。

二、自签名证书 vs 商业证书

| 对比项 | 自签名证书 | 商业证书（如DigiCert） |

|-|||

| 成本 | 免费 | 每年$50-$1000+ |

| 浏览器信任 | 显示警告（需手动信任） | 自动显示绿色锁标志 |

| 适用场景 | 测试环境/内网系统 | 生产环境对外服务 |

| 签发速度 | 即时生成 | 需1小时-数天验证 |

> 比喻：自签名证书就像自制身份证，只在自家公司有效；商业证书则是公安局颁发的真身份证，全国通用。

三、IIS配置自签名SSL全流程（图文版）

步骤1：生成自签名证书

1. 打开IIS管理器 → 点击服务器名称 → 进入"服务器证书"

2. 右侧操作栏选择"创建自签名证书"

3. 填写友好名称（如"MyTestCert"），类型选择"Web主机"


步骤2：绑定到网站

1. 右键目标网站 → "编辑绑定"

2. 添加HTTPS绑定 →端口443 →选择刚创建的证书

3. SSL设置勾选"要求SSL"

```powershell

PowerShell快速验证命令

Test-NetConnection -ComputerName localhost -Port 443

```

步骤3：解决浏览器警告（关键！）

Chrome/Firefox会显示"不安全"提示，需手动信任：

- Chrome解决方案：点击警告 → "高级" → "继续前往"

- Firefox解决方案：添加例外 → "确认安全例外"

四、进阶技巧：让内网用户自动信任

对于企业内网系统，可以通过组策略分发根证书：

1.导出CA根证书：

```dos

certmgr.msc →导出为.cer文件

2.通过GPO推送到所有域计算机的"受信任的根证书颁发机构"

> 企业级方案：可搭建Windows CA服务器，实现自动化证书颁发。

五、注意事项与常见问题

Q1:为什么手机访问还是报错？

A: Android/iOS没有内置你的自签CA，需要手动安装证书文件。

Q2:如何检测配置是否正确？

使用SSL Labs测试工具：

```url

https://www.ssllabs.com/ssltest/

Q3:自签名能用于电商网站吗？

绝对不行！用户看到安全警告会直接流失。生产环境必须使用正规CA颁发的证书（推荐Let's Encrypt免费证书）。

六、

通过IIS自签名SSL配置，我们可以零成本实现：

?基础数据传输加密

?防止内部明文嗅探

?满足合规性检查

虽然不适合生产环境对外服务，但对于开发测试、内部管理系统是非常实用的解决方案。记住网络安全的基本原则："有加密总比裸奔强"。

TAG:iis ssl配置 免证书,ssl免备案,iis证书配置文件,iis部署ssl证书,ssl证书 免费申请