作为一名每天和Web服务器打交道的安全工程师，我经常遇到这样的场景：凌晨三点被报警电话吵醒，原因是网站SSL证书突然过期，整个业务系统被浏览器标红拦截。今天就手把手教你用3种不同方法在IIS服务器上检查证书有效期，附带真实故障案例和自动化监控方案。

一、为什么需要定期检查SSL证书？

去年某电商大促期间，我们团队曾处理过一个典型案例：某品牌官网支付页面突然无法访问，最终发现是运维人员遗漏了即将过期的DigiCert证书。这直接导致活动首小时损失超200万订单。SSL证书就像网站的"身份证"，过期会导致：

- 浏览器显示红色警告（Chrome会直接阻断访问）

- 移动APP无法调用API接口

- 支付系统被第三方风控拦截

二、图形化界面查看（适合新手）

步骤演示：

1. 打开IIS管理器 → 点击服务器名称

2. 进入【服务器证书】功能页

3. 双击要检查的证书（如`www.yourdomain.com`）

4. 查看【有效起始/截止日期】


特别注意：

- 泛域名证书（*.domain.com）可能被多个站点共用

- SAN证书（多域名）需逐个检查备用名称

三、PowerShell脚本检查（适合批量管理）

当我们管理上百台服务器时，推荐使用这个自动化脚本：

```powershell

Get-ChildItem -Path Cert:\LocalMachine\My |

Where-Object { $_.Issuer -like "*YourCA*" } |

Select-Object Subject, NotAfter, @{Name="DaysLeft";Expression={($_.NotAfter - (Get-Date)).Days}}

```

输出示例：

Subject NotAfter DaysLeft

- -- --

CN=api.example.com 2025-08-20 142

CN=cdn.example.com 2025-11-15 249

进阶技巧：

1. 配合`Send-MailMessage`设置到期提醒

2. 通过`Invoke-Command`远程检查多台服务器

四、OpenSSL命令行验证（最可靠方式）

当怀疑IIS显示异常时，可用终极验证方案：

```bash

openssl s_client -connect example.com:443 -servername example.com | openssl x509 -noout -dates

典型输出：

notBefore=Jan 1 00:00:00 2025 GMT

notAfter=Dec 31 23:59:59 2025 GMT

适用场景：

TAG:IIS中怎么查看SSL证书有效期,ssl证书查询,如何查看ssl版本,ssl证书在哪里看,如何查看ssl证书详细信息