在互联网世界中，SSL证书就像是网站的“身份证”和“防盗门”。它不仅能验证网站的真实性，还能加密用户和服务器之间的通信，防止黑客窃取敏感信息。而IIS（Internet Information Services）作为Windows服务器上常用的Web服务工具，续订SSL证书是运维人员必须掌握的技能。今天，我们就用大白话+实例的方式，带你一步步搞定IIS续订SSL证书的全流程！

一、为什么要续订SSL证书？

SSL证书不是永久有效的（通常1-2年），过期后浏览器会弹出“不安全”警告，轻则吓跑用户，重则导致数据泄露。比如：

- 案例1：某电商网站证书过期未续订，用户访问时看到红色警告栏，直接关闭页面，当天订单量暴跌30%。

- 案例2：某银行测试环境忘记更新证书，黑客利用中间人攻击截获了内部员工的登录密码。

二、续订前的准备工作

1. 检查当前证书信息

打开IIS管理器 → 点击服务器名称 → 找到“服务器证书”，就能看到所有已安装的证书及其到期时间（如下图）。


2. 选择续订方式

- 同一CA（如DigiCert、Let's Encrypt）续订：通常只需重新生成CSR（证书签名请求）提交给CA。

- 更换CA（比如从免费换到付费）：需彻底删除旧证书，重新申请并绑定。

三、手把手续订步骤（以DigiCert为例）

步骤1：生成新的CSR文件

1. 在IIS的“服务器证书”中点击“创建证书申请”。

2. 填写信息时注意：

- 通用名称（CN）：必须是域名（如 `www.example.com`），子域名需单独申请。

- 密钥长度：推荐2048位以上（低于1024位会被现代浏览器拒绝）。

步骤2：提交CSR给CA并下载新证书

- 将生成的CSR文本粘贴到CA的申请页面。

- CA验证通过后，你会收到一个 `.cer` 或 `.p7b` 文件（不同CA格式不同）。

步骤3：安装新证书到IIS

1. 回到“服务器证书” → 点击“完成证书申请”，选择下载的文件。

2. 关键点！绑定到网站时选择新证书：右键目标网站 → “编辑绑定” → HTTPS类型下更换为新证书。

四、常见坑点与解决方案

? 坑1：“无效的私钥”错误

- 原因：新证书和旧密钥不匹配（比如CSR生成时换了服务器）。

- 解决：重新生成CSR时勾选“标记密钥为可导出”，备份私钥。

? 坑2：浏览器仍显示旧证书

- 原因：可能缓存未更新或CDN未同步。

- 解决方案举例:

1. 清除浏览器缓存或尝试无痕模式访问；

2. CDN服务（如Cloudflare）需手动上传新证书记录；

3. IIS中检查是否所有相关站点都绑定了新证书记录；

五、自动化推荐：脚本+监控省心法

手动操作容易遗漏？可以试试这些工具：

1. Let's Encrypt + Certbot: （适合个人站长）

```powershell

certbot --iis -d example.com -d www.example.com

```

一行命令自动续签并绑定到IIS。

2. Windows计划任务+PowerShell脚本: （企业级方案）

检查到期时间并邮件告警

$cert = Get-ChildItem Cert:\LocalMachine\My | Where { $_.Subject -match "example.com" }

if ($cert.NotAfter -lt (Get-Date).AddDays(30)) { Send-MailAlert "快续订！" }

六、

SSL证书记录就像汽车的保养——定期维护才能保证安全行驶。通过本文的步骤和案例：

?提前30天监控到期时间；

?备份私钥避免密钥丢失；

?测试新旧证书记录无缝切换。

最后提醒:如果遇到复杂问题(如多域名SAN证书记录)，建议联系CA厂商支持或专业网络安全团队协助处理!

TAG:iis续订ssl证书,如何验证ssl证书,如何查看ssl证书是否生效,检测ssl证书,怎么看ssl证书是否过期,查看ssl证书有效期,查看ssl证书过期时间,怎么验证ssl证书配置成功,ssl证书验证方式,ssl证书验证过程