****

“为什么我的网站子域名总是提示不安全？”——这是很多运维新手面对多子域名部署时的常见困扰。其实，只需一张通配符SSL证书（Wildcard SSL Certificate），就能像万能钥匙一样保护所有`*.yourdomain.com`的子站点。本文将以Windows服务器自带的IIS（Internet Information Services）为例，手把手教你用最省钱的方案实现全站HTTPS加密。

一、通配符SSL证书是什么？

想象你有一栋大楼（主域名`example.com`），里面有无数个房间（子域名`shop.example.com`、`blog.example.com`等）。普通SSL证书就像给每个房间单独配锁，而通配符证书则是直接给整栋楼装了一套万能门禁系统——只要是以`*.example.com`结尾的子域名，都能自动获得加密保护。

典型场景举例：

- 电商平台：主站+用户中心+支付页面分属不同子域名

- SaaS服务：每个客户分配独立子域名（如`client1.yoursaas.com`）

二、IIS配置通配符证书全流程

步骤1：购买或申请免费证书

- 付费推荐：DigiCert/Sectigo的通配符证书（约$200/年）

- 免费方案：Let's Encrypt（通过Win-acme工具自动化申请）

> *实操技巧*：用Win-acme客户端运行命令 `wacs.exe --target iis --host *.example.com --validation http-01` 可自动完成验证和安装。

步骤2：IIS管理器绑定证书

1. 打开IIS管理器 → 点击服务器名称 → 进入「服务器证书」

2. 导入已获取的`.pfx`文件（需输入私钥密码）

3. 右键网站 → 「编辑绑定」 → 添加HTTPS类型绑定

- IP地址：选择「全部未分配」

- 主机名：留空（自动匹配所有子域名）

- SSL证书：选择刚导入的通配符证书


步骤3：强制HTTP跳转HTTPS（安全加固）

在web.config中添加规则：

```xml

```

三、避坑指南——常见问题解决方案

?错误1：“此证书无效，因为它是通配符证书”

原因：浏览器可能检测到CN(Common Name)与访问的域名不匹配。

? 解决：确保证书主题备用名称(SAN)包含`*.example.com`和根域名`example.com`

?错误2：“IIS无法选择已导入的证书”

原因：私钥未正确关联或权限问题。

? 解决：

1. 运行MMC → 添加「证书」管理单元 → 找到对应证书 → 右键「管理私钥」赋予IIS_IUSRS读取权限

2. 使用命令行重新绑定：

```powershell

netsh http add sslcert hostnameport=*.example.com:443 certstorename=MY certhash=你的证书指纹 appid={随机GUID}

```

四、进阶安全优化建议

1. 禁用老旧协议：

- TLS协议仅保留1.2/1.3版本

- IIS可通过「注册表编辑器」修改 `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL`

2. 启用OCSP装订(Stapling)：

减少浏览器验证证书吊销状态的延迟，在IIS中勾选「启用OCSP装订」选项即可。

3. 定期轮换密钥：

每90天更换一次私钥（Let's Encrypt等免费证书会自动处理）

五、为什么企业级场景必须用通配符？

某在线教育平台曾因使用单域名证书导致事故：

- ??故障现象：新上线的直播子域(`live.company.com`)忘记部署SSL，用户流失率骤升15%

- ??解决方案切换为通配符后：

- IT运维效率提升70%（无需逐个配置）

- Chrome浏览器信任度标识从?变为??

*

就像给整栋大楼装上统一的消防系统，通配符SSL certificate让安全管理从“零散修补”变成“整体防护”。按照本文操作后，你的IIS服务器将获得以下能力：

??无限子域自动加密 ??避免浏览器警告 ??符合PCI DSS等合规要求

TAG:iis 通配符ssl证书,iis设置ssl证书,iis如何导入ssl证书,iis配置ssl