为什么需要多域名SSL证书？

想象一下你经营着一家电商公司，主站是www.example.com，同时还有m.example.com移动版和api.example.com的接口服务。如果每个子域名都要单独配置SSL证书，不仅管理麻烦，成本也会成倍增加。这就是多域名SSL证书（也叫SAN证书）大显身手的时候了！

多域名SSL证书就像一把"万能钥匙"，可以同时保护多个不同的域名。比如我最近帮一家客户配置的证书就同时覆盖了：

- www.company.com

- shop.company.com

- blog.company.com

- m.company.com

IIS中多域名SSL证书配置前的准备

在开始动手前，你需要准备好以下"食材"：

1. 购买合适的证书：推荐从DigiCert、GlobalSign等正规CA购买。注意选择支持SAN(Subject Alternative Name)的证书类型。

2. 生成CSR文件：这就像你的"证书申请书"。在IIS中可以通过：

- 打开IIS管理器

- 点击服务器节点

- 选择"服务器证书"

- 点击"创建证书申请"

关键是要在"通用名称"填写主域名，并在后续步骤中添加其他备用名称。

3. 完成验证流程：CA会通过邮件或DNS记录验证你对域名的所有权。

详细配置步骤（Windows Server 2025示例）

第一步：安装已颁发的证书

当你收到CA发来的证书文件后（通常是.crt或.p7b格式）：

1. 回到IIS管理器中的"服务器证书"

2. 点击"完成证书申请"

3. 选择你收到的证书文件

4. 给证书起个容易识别的名字（如"MyCompany Multi-Domain SSL")

> 专业提示：如果收到的是.p7b格式，可能需要先用MMC控制台导入到"个人→证书"存储中。

第二步：绑定到网站

现在来到最关键的绑定环节：

1. 在IIS中选择要配置的网站

2. 点击右侧的"绑定"

3. 添加新的HTTPS绑定：

- IP地址：通常选"全部未分配"

- 端口：443（HTTPS标准端口）

- SSL证书：选择刚才安装的多域名证书

这里有个常见的坑点——如果你发现某些子域名仍然提示不安全，很可能是SNI(Server Name Indication)的问题。解决方法：

```powershell

PowerShell管理员模式下运行

Set-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\HTTP\Parameters -Name EnableHttp2Tls -Value 0x01

```

第三步：验证所有域名

不要以为绑定了就万事大吉！必须逐个测试：

https://www.example.com

https://api.example.com

https://m.example.com

每个都应该显示绿色的锁标志。如果某个子域不工作，检查：

- CSR生成时是否包含该名称

- DNS解析是否正确

- IIS中是否有冲突的绑定

IIS多域名SSL常见故障排除

在实际工作中，我遇到过各种奇葩问题。分享几个典型案例：

案例1："此网站的安全证书有问题"

检查发现客户在生成CSR时漏掉了mobile.domain.com，但后来又在IIS中绑定了这个子域。解决方法只能是重新申请包含所有域名的CSR并颁发新证。

案例2：IE8用户无法访问

老旧浏览器对SNI支持不好。解决方案是给这些旧系统分配独立IP或使用通配符证+多域证的组合方案。

案例3：OCSP装订失败导致加载缓慢

通过以下命令修复：

```bash

certutil -setreg chain\ChainCacheResyncFiletime @now

HTTPS性能优化小技巧

配置完SSL后性能下降？试试这些优化手段：

1. 启用HTTP/2：

在IIS10+默认开启HTTP/2能显著提升多个资源的加载速度。

2. 会话票证优化：

修改注册表项来减少TLS握手开销：

```

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\

新建DWORD值：ServerCacheTime =3600 (秒)

3. 选择合适的加密套件：

禁用老旧的RC4、DES算法，优先使用AES256-GCM等现代加密方式。

IIS vs Nginx的多域名SSL对比

有同学问为什么不用Nginx？这里简单对比下：

|特性 | IIS | Nginx |

||||

|配置文件 | GUI操作 |文本conf文件 |

|热更新 |需要重启站点 |平滑重载 |

|OCSP装订 |需手动开启 |默认支持 |

|HTTP/3支持 |Windows Server2025+ |已有成熟方案 |

对于Windows生态为主的团队，IIS仍然是更优选择；而追求极致性能的场景下Nginx可能更适合。

SSL安全加固建议

最后分享几个安全加固要点：

1. 定期更换私钥：

建议每年重新生成密钥对而非续费原证。

2. 监控到期时间：

用PowerShell脚本定期检查：

```powershell

Get-ChildItem Cert:\LocalMachine\My | Where {$_.NotAfter -lt (Get-Date).AddDays(30)}

3. 禁用弱协议：

通过组策略编辑器(gpedit.msc)禁用SSLv3、TLS1.0等不安全协议。

记住一个原则："安全不是一次性的工作"。即使完美配置了多域证也要持续监控和维护！

希望这篇指南能帮你轻松驾驭IIS的多域名SSL配置。如果有任何具体问题欢迎留言讨论！

TAG:iis 配置多域名ssl证书,ssl证书多个域名,iis部署ssl,iis7多个https