什么是多域名SSL证书？

多域名SSL证书(Multi-Domain SSL Certificate)也叫SAN证书(Subject Alternative Name)，它允许在一张证书中保护多个完全不同的域名。比如你有一个网站同时使用以下域名：

- www.example.com

- shop.example.com

- example.net

- blog.example.org

传统方式需要为每个域名单独购买和安装证书，而多域名SSL证书可以一次性解决所有问题，既节省成本又简化管理。

为什么需要多域名SSL证书？

案例1：某电商平台原先只有www.abc.com，后来新增了m.abc.com移动端和pay.abc.com支付页面。技术人员最初为每个子域名单独配置证书，结果经常出现某个子域名的证书忘记续费导致服务中断。

案例2：一家跨国企业拥有不同国家地区的多个域名（如company.com、company.cn、company.jp），使用多域名SSL证书后，IT管理员只需维护一张证书即可。

IIS安装多域名SSL证书的详细步骤

准备工作

1. 获取证书文件：从CA机构获取包含以下文件的压缩包：

- 主证书(.crt或.pem)

- 中间证书链

- 私钥文件(.key)

*实战经验*：某次客户将中间证书链遗漏，导致Android设备出现"不受信任的证书"警告。

2. 合并证书链：

用记事本打开主证书和中间证书，按以下顺序合并为一个.pem文件：

```

--BEGIN CERTIFICATE--

(你的主证书内容)

--END CERTIFICATE--

(中间CA证书)

IIS管理器操作步骤

1. 打开IIS管理器 → 选择服务器节点 → 双击"服务器证书"

2. 导入合并后的PFX文件

- 点击右侧"导入"

- 选择包含私钥的.pfx文件（需提前用OpenSSL将.key和.pem合并为pfx）

3. 绑定到网站

- 右键目标网站 → "编辑绑定"

- 添加或编辑HTTPS绑定 → 从下拉列表选择刚导入的SAN证书

*常见错误排查*：如果在下拉列表中看不到新导入的证书，通常是因为私钥未正确关联。可以使用MMC控制台的"证书管理单元"检查私钥状态。

SAN配置关键点

在申请SAN证书记得：

1. 主域名(Common Name)必须包含最常用的那个域名

2. 备用名称(SAN)列表要包含所有需要保护的变体：

```

DNS Name=example.com

DNS Name=*.example.com

DNS Name=example.net

*真实案例*：某客户忘记添加www前缀导致访问https://www.domain.com时浏览器报错，不得不重新签发证书记录。

HTTPS强制跳转设置

在web.config中添加规则：

```xml

redirectType="Permanent" />

安全加固建议：同时启用HSTS头可以防止SSL剥离攻击：

SAN与通配符的区别

| 特性 | SAN多域证书记录 | 通配符证书记录 |

||-|-|

| 保护范围 | 多个完全不同的域 | *.domain.com下的所有子域 |

| IP地址支持 | ?? (部分CA支持) | ? |

| CSR复杂度 | CSR需指定所有SAN | CSR只需指定通配符 |

*选择建议*：当你有a.com、b.net这类跨域需求时选SAN；如果只是*.domain.com这种需求则选通配符更经济。

HTTP/2性能优化

现代IIS支持HTTP/2协议，但前提是正确配置了SNI(Server Name Indication)。通过以下命令检查：

```powershell

Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\HTTP\Parameters | fl EnableHttp2Tls, EnableHttp2Cleartext

确保EnableHttp2Tls值为1以获得更好的HTTPS性能。某金融网站在启用HTTP/2后页面加载时间从3.2秒降至1.8秒。

OCSP装订配置

为了避免客户端每次都要验证CRL列表导致的延迟，在IIS上启用OCSP Stapling：

1. 修改注册表项：

```regedit

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]

"EnableOcspStaplingForSni"=dword:00000001

2.重启HTTP服务：

```cmd

net stop http /y && net start http

IIS特定问题排查

问题现象："此站点不安全"警告可能原因：

- ?? SAN列表未覆盖当前访问的URL

- ?? 中间证书记录缺失

- ?? IIS应用池账户无权限读取私钥

使用微软官方工具CertMgr.msc检查私钥权限设置。曾遇到某次故障是因为系统更新后重置了密钥文件的ACL权限。

通过以上完整流程，你应该可以在IIS上成功部署多域SS记记录书。记得每年提前一个月设置证书记录到期提醒！

TAG:iis 安装多域名ssl证书,iis如何安装证书,iis绑定二级域名,ssl证书多个域名,iis添加ssl证书,iis绑定域名