为什么需要为单个站点配置多个SSL证书？

在互联网安全日益重要的今天，HTTPS已经成为网站标配。但有时候我们会遇到一些特殊需求：比如一个网站需要同时支持多个域名（主域名和备用域名），或者需要兼容新旧不同版本的证书。这时候就需要在一个IIS站点上配置多个SSL证书。

举个实际例子：某电商网站"example.com"想要新增"shop.example.com"子域名，同时还要保留旧版"www.example.com"，并且都需要HTTPS加密。传统做法是为每个域名单独建立站点，但这会增加管理成本。更好的解决方案是在同一个IIS站点上绑定多个SSL证书。

IIS绑定SSL证书的基础原理

在深入讲解多证书配置前，我们先了解下IIS中SSL绑定的基本工作原理：

1. SNI扩展技术：Server Name Indication（服务器名称指示）是现代TLS协议的扩展功能。它允许客户端在握手初期就告诉服务器它要连接的具体主机名，这样服务器就能返回正确的证书。

2. IP地址限制：传统HTTPS（不带SNI）要求每个SSL证书必须独占一个独立IP地址。这是因为握手阶段客户端还没发送Host头，服务器不知道应该返回哪个证书。

3. 端口443：所有HTTPS流量默认使用443端口，这也是为什么在不使用SNI的情况下，一个IP只能服务一个HTTPS网站。

实战配置：单站点多SSL证书步骤

环境准备

- Windows Server 2025/2025（支持SNI）

- IIS 10.0或更高版本

- 已获取的多个有效SSL证书（如从Let's Encrypt或其他CA获取）

详细操作步骤

1. 导入所有需要的证书

- 打开"MMC"，添加"证书"管理单元

- 选择"计算机账户"，定位到"个人→证书"

- 右键导入所有需要用到的.pfx或.cer格式的证书文件

2. 为网站添加第一个HTTPS绑定

```powershell

PowerShell示例：为主域名添加绑定

New-WebBinding -Name "Default Web Site" -Protocol "https" -HostHeader "example.com" -Port 443 -SslFlags 1

```

3. 添加第二个及更多HTTPS绑定

为子域名添加绑定（注意使用SNI标志）

New-WebBinding -Name "Default Web Site" -Protocol "https" -HostHeader "shop.example.com" -Port 443 -SslFlags 1

4. 验证绑定是否正确

在IIS管理器中：

1) 选择目标站点 → "绑定"

2) 确认看到类似这样的条目：

```

https example.com:443 (需要服务器名称指示)

https shop.example.com:443 (需要服务器名称指示)

SNI与非SNI模式对比

| 特性 | SNI模式 | 非SNI模式 |

||--|-|

| IP地址需求 | 可共享IP | 每个证书独占IP |

| IE8/WinXP兼容性 | ?不支持 | ?支持 |

| SSL卸载设备要求 | ?需支持SNI | ?无需特殊支持 |

| HTTP/2支持 | ?完全支持 | ?完全支持 |

Windows Server各版本对SNI的支持情况

不同Windows版本对SNI的支持程度不同：

- Windows Server 2008 R2/IIS7.5：不支持原生SNI，需第三方模块

- Windows Server 2012/IIS8：开始实验性支持SNI

- Windows Server 2025/IIS10及以上：完整稳定支持SNI

如果你的用户群体中仍有大量Windows XP用户(虽然这在2025年已经很少见)，则需要考虑不使用SNI的方案——即给每个SSL分配独立IP地址。

SSL/TLS最佳实践建议

1. 统一更新周期：尽量让多个域名的证书过期时间相近，便于统一更新管理。

2. 自动化续期工具：

```bash

Certbot示例命令（适用于Let's Encrypt）

certbot certonly --webroot -w C:\inetpub\wwwroot\example.com -d example.com,www.example.com,shop.example.com

3. 混合内容警告处理：

即使配置了正确的SSL证书，如果网页中引用了HTTP资源(如图片、JS)，浏览器仍会显示警告。可以使用以下HTML强制HTTPS：

```html

4. HSTS预加载：

对于重要站点，建议提交到HSTS预加载列表：

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

IIS多SSL常见问题排查指南

Q1: Chrome显示"CERT_COMMON_NAME_INVALID"

原因分析：

新版本Chrome不再信任Subject Alternative Name(SAN)以外的CN字段。确保你的SAN列表中包含所有使用的域名。

解决方案：

重新生成CSR时包含所有需要的SAN名称。

Q2: IE8无法访问但现代浏览器正常

IE8不支持SNI扩展技术。

解决方案选项：

1) 放弃对IE8的支持（推荐）

2) 为非SNI客户端分配专用IP和默认回退证书

Q3: PowerShell报错"The specified port is already in use"

尝试在不使用不同主机头/IP的情况下重复绑定同一端口。

正确做法：

```powershell

IP参数留空表示监听所有IP

New-WebBinding -Name "Site1" -IPAddress "*" -Port 443 ...

```

SSL性能优化技巧

当为一个站点配置多个SSL时，性能考量也很重要：

1. 会话恢复(TLS Session Resumption)

减少重复握手开销。可在注册表中调整：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

新建DWORD值："ServerCacheTime"，值为3600（秒）

2. OCSP装订(OCSP Stapling)

减少客户端验证吊销状态的时间延迟。可通过组策略启用：

计算机配置→管理模板→网络→SSL配置设置→开启OCSP装订响应

3. TLS协议版本控制

禁用不安全的旧协议版本：

```xml

通过以上详细的指导和最佳实践分享，你应该能够在实际工作中高效地为单个IIS站点部署和管理多个SSL证书了。记住定期检查日志和监控工具以确保一切正常运行！

TAG:iis下一个站点多个ssl证书,一个iis可以配几个ssl,iis多站点配置,iis7多个https