什么是IIS多域名SSL证书？

想象一下你是一家电商公司，同时运营着www.myshop.com（主站）、pay.myshop.com（支付）和m.myshop.com（移动端）三个子站点。传统方式需要为每个域名单独购买和安装SSL证书，不仅成本高，管理也麻烦。而多域名SSL证书（也叫SAN证书或UCC证书）就像是一把"万能钥匙"，可以同时保护多个域名。

专业知识点：SAN（Subject Alternative Name）是X.509标准中的扩展字段，允许在一个证书中指定多个主体名称。微软IIS从7.0版本开始全面支持SAN证书。

为什么需要多域名SSL证书？

1. 成本效益：比起购买多个单域名证书，一个多域名证书通常更便宜

2. 管理简便：只需维护一个证书的更新和安装

3. 兼容性好：支持所有现代浏览器和移动设备

4. SEO优势：Google明确表示HTTPS是搜索排名因素之一

举个实际案例：某中型企业有5个子站点，如果使用单域名证书：

- 每年费用：5×$50 = $250

- 管理时间：每次续费需操作5次

改用多域名证书后：

- 每年费用：1×$150 = $150（节省40%）

- 管理时间：只需操作1次

IIS配置多域名SSL全流程

第一步：生成CSR（证书签名请求）

```powershell

使用PowerShell生成CSR

$cert = New-SelfSignedCertificate `

-DnsName "www.myshop.com", "pay.myshop.com", "m.myshop.com" `

-CertStoreLocation "cert:\LocalMachine\My" `

-KeySpec KeyExchange

```

关键参数说明：

- `-DnsName`后面跟着所有需要保护的域名

- `-KeySpec KeyExchange`确保生成适用于SSL的密钥

第二步：向CA申请证书

将生成的CSR提交给DigiCert、Symantec等CA机构时，务必确认：

1. CSR中包含所有需要的SAN名称

2. 选择正确的验证方式（DNS验证或文件验证）

3. 确保证书类型是"多域名/SAN/UCC"

第三步：在IIS中安装证书

1. 打开IIS管理器 → 点击服务器名称 → 双击"服务器证书"

2. 点击"完成证书申请"

3. 选择从CA获得的.pfx文件并输入密码

4. SSL设置建议选择"要求SSL"


第四步：绑定到网站

对于每个需要HTTPS的网站：

```markdown

1. 右键网站 → "编辑绑定"

2. 添加 → 类型选择https

3. SSL证书选择刚安装的多域名证书

4. 主机名填写对应的域名（如pay.myshop.com）

常见错误排查：

- ERR_SSL_VERSION_OR_CIPHER_MISMATCH → IIS中启用TLS1.2+

- ERR_CERT_COMMON_NAME_INVALID → SAN列表缺少当前访问的域名

IIS特有的高级配置技巧

SNI（服务器名称指示）

当需要在单个IP上托管多个HTTPS站点时：

```xml

HSTS强化安全

在web.config中添加：

value="max-age=31536000; includeSubDomains; preload"/>

SSL最佳实践与维护建议

1. 定期更新：设置日历提醒在到期前30天续订

2. 密钥轮换：每年至少更换一次私钥

3. 监控工具：

- SSL Labs测试（https://www.ssllabs.com/ssltest/）

- Let's Monitor免费监控服务

4. 性能优化：

- OCSP Stapling减少验证延迟

- HTTP/2协议提升加载速度

FAQ常见问题解答

Q：最多可以添加多少个SAN？

A：不同CA有不同限制，通常25-250个不等。DigiCert的高级版支持250个。

Q：后续可以新增SAN吗？

A：可以，但需要通过CA重新签发新版本证书。

Q：通配符和多域名的区别？

A：通配符(*.)只能保护同一级子域，而多域可以保护完全不同的域名。

通过以上步骤，你的IIS服务器就能完美支持多站点HTTPS加密了。记住网络安全没有一劳永逸的方案，定期审查和维护才是关键！

TAG:iis 多域名 ssl证书,ssl证书更换后多久生效,更换ssl证书后需要重启吗,ssl证书更换后显示原证书,更换ssl证书会对网站有什么影响,ssl证书到期了怎么办,ssl证书多久生效,ssl证书续期,ssl证书过期时间,ssl证书过期立刻无法访问吗