一、为什么需要SSL证书？先看两个血泪案例

1. 案例1：小公司官网被“钓鱼”

某企业用HTTP协议搭建官网，用户提交的登录信息被黑客在公共WiFi下轻松截获，导致客户数据泄露，公司品牌形象崩塌。

2. 案例2：搜索引擎“拉黑”警告

谷歌等浏览器会将未安装SSL证书的网站标记为“不安全”，流量直接暴跌60%。

****：SSL证书能加密数据传输（比如密码、银行卡号），还能让网址前显示“小锁图标”，提升用户信任度。而自建证书适合测试环境或内部系统，成本为零！

二、IIS自建SSL证书5步实操（附截图级教程）

步骤1：生成证书请求文件（CSR）

- 操作路径：IIS管理器 → 服务器证书 → 创建证书申请

- 关键字段填写：

- 通用名称(CN)：必须填域名（如 `test.com`），否则浏览器会报错！

- 密钥长度：选2048位（1024位已被认为不安全）。

步骤2：用Windows自带工具生成证书

```powershell

以管理员身份运行PowerShell

New-SelfSignedCertificate -DnsName "test.com" -CertStoreLocation "cert:\LocalMachine\My"

```

注意：这里生成的证书会被系统自动标记为“不可信”，需要手动信任（下文会讲）。

步骤3：在IIS中绑定证书

- 找到网站 → 绑定 → HTTPS → 选择刚生成的证书

- 端口冲突？ 确保没有其他程序占用443端口（比如Skype会抢443端口！）。

步骤4：让电脑“信任”自签证书（解决红色警告）

1. 按 `Win+R` 输入 `mmc` → 添加“证书”管理单元 → 选择“计算机账户”

2. 将生成的证书从“个人”拖到“受信任的根证书颁发机构”（如图）。

步骤5：强制跳转HTTPS（杜绝HTTP裸奔）

在Web.config中添加规则：

```xml

```

三、自建VS商业证书？三大致命缺陷要当心！

1. 缺陷1：浏览器疯狂报警

- Chrome/Firefox会对自签证书记录红屏警告，用户可能被吓跑。*（商业证书由DigiCert等机构背书，无此问题）*

2. 缺陷2：无法扩展验证(EV)

- 自建证书只能做到基础加密，而EV证书能显示绿色企业名称（比如银行官网的地址栏）。

3. 缺陷3：运维灾难

- 每台访问设备的浏览器/手机都要手动安装并信任你的根证，否则依旧报错。*（想象给100个客户挨个打电话教他们装证书…）*

四、高级玩家技巧：用OpenSSL打造更专业的自签证 （代码示例）

如果想绕过Windows的限制，可以用OpenSSL生成更灵活的证书：

```bash

生成私钥和CSR

openssl req -newkey rsa:2048 -nodes -keyout test.key -out test.csr

自签名

openssl x509 -signkey test.key -in test.csr -req -days365-out test.crt

```

优势是能自由设置有效期、SAN扩展域名等参数。

五、什么场景适合用自建SSL？

? 内部系统 ：如ERP、OA，反正只有员工访问

? 开发测试环境 ：省去购买费用，快速验证功能

? 对外商用网站 ：除非你想让用户每天看到这个画面→ ![Chrome警告截图]

通过这篇指南，你不仅能快速搞定IIS自签SSL，还能彻底理解背后的安全逻辑。如果遇到坑点，欢迎在评论区交流！

TAG:iis自建ssl证书,iis创建证书申请,iis 自建证书,自建ssl证书服务器