在网络安全领域，SSL证书就像网站的“身份证”和“加密锁”，它能验证服务器身份，同时加密用户浏览器和服务器之间的通信数据。如果证书过期或配置错误，轻则导致浏览器弹出警告吓跑用户，重则引发中间人攻击（比如黑客冒充你的网站窃取密码）。今天我们就以Windows Server的IIS（Internet Information Services）为例，用最直白的语言+实操步骤，教你如何安全更换SSL证书。

一、为什么要定期更换SSL证书？

1. 过期风险：证书通常有1-2年有效期。比如Let’s Encrypt免费证书只有90天，过期后用户访问会看到红色警告（如下图）。


2. 安全升级：旧证书可能使用SHA-1等弱算法，新证书普遍采用SHA-256。

3. 合规要求：PCI DSS等标准要求定期更新加密凭证。

二、准备工作：4个关键材料

在动手前，确保你有以下文件（以申请DigiCert证书为例）：

1. 新证书文件（.cer或.pem格式）

2. 私钥文件（.key或.pfx格式）——如果当初生成CSR时保存过

3. 中间证书链（CA Bundle）——防止浏览器“不信任”报错

4. 旧证书备份——万一失败可快速回滚

> ?? 例子：如果你用OpenSSL生成过CSR，私钥可能叫`domain.key`；从CA下载的证书包通常包含`your_domain.crt`和`DigiCertCA.crt`。

三、IIS更换SSL证书详细步骤

步骤1：导入新证书到服务器

1. 打开IIS管理器 → 点击服务器名称 → 进入“服务器证书”功能。

2. 选择“导入”，上传`.pfx`文件（含私钥的合并文件），输入申请时设置的密码。


> ?? 注意：如果只有`.cer`+`.key`，需要用OpenSSL合成PFX：

> ```bash

> openssl pkcs12 -export -out domain.pfx -inkey domain.key -in domain.crt

> ```

步骤2：绑定新证书到网站

1. 在IIS中找到你的网站 → 右键“绑定” → 选择HTTPS类型的绑定。

2. 点击“编辑”，从下拉菜单选择新导入的证书 → 勾选“SNI”（如果多站点共用IP必选）。


步骤3：验证中间证书链

这一步很多人会忽略！如果缺少中间证书，用户可能看到“此证书不受信任”。

- 在MMC中打开“计算机账户”的证书管理 → 将CA提供的中间证书（如`DigiCertCA.crt`）导入到“中间根机构”存储区。

步骤4：测试与旧流量过渡

- 用浏览器访问网站，确认地址栏显示??且无警告。

- 推荐工具检查链完整性：

```bash

openssl s_client -connect yourdomain.com:443 -showcerts

```

- *灰度技巧*：若需平滑过渡，可暂时新旧证书共存，通过负载均衡分流流量。

四、常见翻车场景与补救方案

1. 报错“密码错误”

? 原因：PFX文件密码输错或私钥不匹配。

? 解决：重新用OpenSSL打包PFX，确保使用原始私钥。

2. 浏览器提示“不安全混合内容”

? 原因：网页内嵌的图片/js仍用HTTP协议加载。

? 解决：启用[HSTS](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security)强制HTTPS，或用开发者工具(F12)排查混合资源。

3. CDN或WAF未同步更新

? AWS CloudFront等CDN需单独上传新证！否则边缘节点继续用旧证。

五、高级安全建议

1. 自动化监控：用Nagios或Certbot监控到期时间，提前30天邮件提醒。

2. 密钥保护：私钥权限设为仅管理员可读（icacls命令），避免泄露后被伪造签名。

通过以上步骤，你的IIS站点就完成了SSL/TLS的无缝升级！如果有其他问题欢迎留言讨论~

TAG:iis 更换ssl证书,如何更换ssl证书,iis证书更新,iis配置https证书