作为一名网络安全从业者，我经常遇到客户询问："我的IIS服务器没有SSL证书，还能用HTTPS吗？"今天我就用大白话给大家讲清楚这个问题，并分享5种实用的解决方案。

一、HTTPS和证书的"身份证"关系

首先打个比方：HTTPS就像是一辆加密的快递车，而SSL证书就是这辆车的"身份证"。正常情况下，没有"身份证"(证书)，快递车(HTTPS)是不能上路运行的。IIS作为Windows的Web服务器，默认情况下确实需要有效的SSL证书才能启用HTTPS。

但现实情况是：

- 测试环境需要临时HTTPS

- 内部系统不想花钱买证书

- 开发调试需要快速搭建

这时候该怎么办？下面我介绍5种实用方法。

二、5种无证驾驶HTTPS的方法

方法1：使用自签名证书（开发测试首选）

就像你自己手写一张身份证一样，自签名证书就是你自己生成的"假证"。虽然浏览器会报警告，但在内网测试完全够用。

操作步骤：

1. 打开IIS管理器 → 服务器证书

2. 点击"创建自签名证书"

3. 输入友好名称（如"MyTestCert"）

4. 选择网站绑定该证书

```powershell

PowerShell快速创建命令

New-SelfSignedCertificate -DnsName "localhost" -CertStoreLocation "cert:\LocalMachine\My"

```

适用场景： 开发测试、内网系统演示

方法2：使用本地CA颁发证书（小型团队适用）

比自签名更专业一点的做法是在内网搭建个小型"公安局"(CA)，给所有内部服务器发统一的"内部身份证"。

实现方案：

1. Windows Server自带AD CS服务

2. 使用OpenSSL搭建简易CA

3. 每台服务器向CA申请证书

```bash

OpenSSL创建CA示例

openssl genrsa -out ca.key 2048

openssl req -new -x509 -days 365 -key ca.key -out ca.crt

优势： 一次配置全公司通用，浏览器只需信任一次CA根证

方法3：Let's Encrypt免费证书（公网最佳选择）

现在有个公益组织叫Let's Encrypt，专门免费发放90天有效的真实SSL证书。就像***提供的惠民身份证服务。

获取方式：

1. Windows可以用win-acme工具自动获取：

```cmd

wacs.exe --target iis --siteid 1 --installation iis --validation http-01 --email your@email.com

```

2. Linux下用certbot-auto工具

注意点：

- 需要域名和公网访问权限

- 每3个月要自动续期

方法4：端口转发方案（紧急情况备用）

如果实在搞不定证书，可以用Nginx等反向代理做中转：

外网用户 → HTTPS(443) → Nginx(有合法证书) → HTTP → IIS后端

这就好比让有驾照的司机(Nginx)帮你开一段高速路。

方法5：Cloudflare灵活SSL（CDN加速附带福利）

使用Cloudflare的CDN服务时，可以开启"灵活SSL"，由Cloudflare负责HTTPS加密：

用户 ←HTTPS→ Cloudflare ←HTTP→ IIS服务器

相当于请了个专业保镖站在你家门口接待客人。

三、安全风险警示灯

虽然上述方法能解决问题，但要注意：

1. 自签名风险：中间人攻击可能伪造相同指纹的假证

2. 过期风险：Let's Encrypt每90天必须续期一次

3. 性能影响：加解密会消耗约5%-15%的CPU资源

建议生产环境还是购买正规商业证书（200-5000元/年不等），毕竟数据安全无价。像银行、电商这类网站千万别省这个钱！

四、最佳实践路线图

根据不同的使用场景，我建议这样选择：

| 场景类型 | 推荐方案 | 成本 | 维护难度 |

|||||

|个人博客/测试站|Let's Encrypt|免费|中等(需自动续期)|

|企业内网系统|私有CA颁发|一次性投入|较高|

|开发调试环境|自签名证书|免费|简单|

|高流量商业站|商业EV证书|付费高|专业运维|

五、操作常见问题Q&A

Q: Chrome说我的自签名证不安全怎么办？

A:这是正常提示。本地测试可以点"高级→继续访问"，生产环境绝对不要这样！

Q: Let's Encrypt总续期失败？

A:检查防火墙是否开放80端口(HTTP验证需要)，或改用DNS验证方式。

Q: IIS绑定https后打不开？

A:按顺序检查：

1.443端口是否监听(netstat -ano)

2.防火墙是否放行443入站规则

3.应用程序池是否启动

希望能帮你解决IIS无证使用HTTPS的问题。记住网络安全的核心是平衡便利性与安全性。如果觉得有用欢迎分享给更多运维小伙伴！

TAG:iis没有证书使用HTTPS,iis ssl证书,iis没有isapi和cgi,iis证书安装教程,iis配置https证书