在互联网世界，SSL证书就像是网站的"身份证"和"加密锁"，它能验证网站的真实性，还能保护用户数据不被窃听。而IIS（Internet Information Services）作为Windows服务器上最常用的Web服务工具，定期更新SSL证书是运维人员的必修课。今天我们就用做菜般的步骤分解，带你轻松搞定IIS证书更新。

一、为什么要及时更新SSL证书？

想象一下你家的门锁用了三年不换，钥匙都可能被复制了——SSL证书过期或泄露的风险同样严重：

1. 浏览器红色警告：Chrome会直接拦***问（就像超市门口拦下过期健康码）

2. 数据裸奔风险：2025年某电商就因证书过期导致支付信息泄露

3. SEO降权惩罚：Google明确将HTTPS作为搜索排名因素

常见证书有效期对比：

| 类型 | 有效期 | 举例 |

|-|--||

| DV证书 | 1年 | Let's Encrypt |

| OV/EV证书 | 1-2年 | DigiCert, GeoTrust |

二、更新前的4项准备工作

就像换轮胎前要备好千斤顶，更新证书也需要：

1. 备份当前配置

- 导出原有证书（双击证书→选择"导出"）

- 记录IIS绑定信息（站点→绑定设置截图）

2. 获取新证书

```powershell

如果是企业内部CA颁发的证书

certreq -submit -attrib "CertificateTemplate:WebServer" request.req

```

3. 检查私钥匹配

- 用OpenSSL验证新旧密钥一致性：

```bash

openssl rsa -noout -modulus -in private.key | openssl md5

openssl x509 -noout -modulus -in certificate.crt | openssl md5

4. 选择维护窗口期

建议在凌晨2-4点操作（根据StatCounter流量统计此时访问量最低）

三、IIS更新实操六步走

我们以通配符证书为例演示：

步骤1：导入新证书

- IIS管理器→服务器节点→"服务器证书"

- 点击"导入"→选择.pfx文件（记得勾选"允许导出此证书"）

步骤2：站点绑定更新

```mermaid

graph LR

A[站点] --> B(右键"编辑绑定")

B --> C{选择https类型}

C --> D[选择新证书]

D --> E[取消SNI勾选测试]

```

步骤3：验证链完整性

- 使用SSL Labs检测工具：

https://www.ssllabs.com/ssltest/

- 常见错误："Chain incomplete"需要安装中间CA证书

步骤4：强制HTTPS跳转

在web.config添加规则：

```xml

步骤5：OCSP装订配置

提升TLS握手速度的关键设置：

certutil -setreg chain\ChainCacheResyncFiletime @now

netsh stop http

netsh start http

步骤6：多节点同步

如果是负载均衡环境，需使用PS远程执行：

```powershell

Invoke-Command -ComputerName Web01,Web02 -ScriptBlock {

Import-PfxCertificate -FilePath C:\certs\new.pfx

}

四、五大常见翻车现场处理指南

1. 错误代码0x80090326

→ IIS_IUSRS账户没有私钥读取权限（右键证书→管理私钥）

2. SCHANNEL报错36887

→ TLS版本冲突，需修改注册表：

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\

3. 浏览器提示"MIXED_CONTENT"

→ CDN未更新证书或页面内含http资源

4. 旧证无法删除

使用certmgr.msc控制台彻底清理

5. 性能下降30%+

检查是否启用TLS1.3和ECDHE密钥交换

五、高级玩家技巧包

1. 自动化续期脚本

配合Let's Encrypt的wacs.exe工具实现无人值守：

```cmd

wacs.exe --target iis --siteid 1 --installation iis

--sslport 443 --certificatestore My

--acl-fullcontrol "IIS_IUSRS"

2. 双证热切换方案

通过添加临时443端口绑定实现零宕期切换：

3. HSTS预加载准备

在响应头加入：

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

最后提醒各位同行：记得在日历上标记到期前30天提醒！去年全球仍有17%的网站在用过期证书（来源：Venafi报告），别让你的网站成为其中一员。

TAG:iis更新ssl证书,iis设置ssl证书,iis配置https证书,ssl证书已更新,若无法登录,请清空浏览器缓存