什么是SSL自制证书？

SSL自制证书（也称为自签名证书）是指由个人或组织自己创建的数字证书，而不是通过公认的证书颁发机构(CA)获得的。想象一下，如果你要给自己发一张身份证，而不是去公安局办理——这就是自制证书的本质。

在IIS（Internet Information Services，微软的Web服务器）环境中，管理员经常会遇到需要使用SSL/TLS加密的情况。当预算有限或测试环境不需要商业证书时，自制SSL证书就成了一个常见选择。

如何在IIS中创建和安装自制SSL证书？

让我们通过一个具体例子来说明整个过程：

1. 打开IIS管理器：在Windows服务器上，点击"开始"菜单 > "管理工具" > "Internet Information Services (IIS)管理器"

2. 生成CSR：虽然自制证书不需要向CA提交CSR（Certificate Signing Request），但我们需要类似的步骤：

- 在服务器节点下双击"服务器证书"

- 点击右侧操作面板的"创建自签名证书"

- 输入友好名称（如"MyTestSiteCert"）

- 选择存储位置为"个人"

3. 绑定到网站：

- 右键点击目标网站 > "编辑绑定"

- 添加HTTPS绑定（端口443）

- 在下拉菜单中选择刚创建的证书

4. 客户端安装（重要步骤）：

```powershell

导出证书

$cert = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.FriendlyName -eq "MyTestSiteCert"}

Export-Certificate -Cert $cert -FilePath C:\temp\MyTestSiteCert.cer

然后在客户端计算机上导入到"受信任的根证书颁发机构"

```

SSL自制证书的安全风险与应对措施

虽然自制SSL提供了加密功能，但它存在几个关键安全问题：

1. 缺乏第三方验证

商业CA会对申请者进行身份验证（DV、OV或EV验证），而自制证书完全跳过这一过程。这可能导致中间人攻击(MITM)。

真实案例：2025年某企业内部系统使用自制SSL，黑客在内网部署了类似的自制证书，成功窃取了大量员工凭据。

2. 浏览器警告

所有主流浏览器都会对自签名证书记录严重的警告信息：

```

此网站的安全证书有问题

这会导致用户产生"警告疲劳"，可能忽视真正的安全威胁。

3. 密钥管理问题

大多数自签名实践缺乏专业的密钥管理：

- 使用弱密钥（如1024位RSA）

- 不轮换密钥

- 私钥保护不足（如存储在web目录下）

4. PKI体系断裂

企业PKI(公钥基础设施)是一个完整体系，自签名破坏了这种信任链。比如：

- CRL/OCSP检查缺失

- CT日志记录缺失

- HSTS预加载不可能

SSL自制证书的最佳实践

如果必须使用自签名SSL，请遵循以下安全准则：

1. 强化密钥参数

```powershell

PowerShell生成更强密钥的例子

New-SelfSignedCertificate `

-DnsName "mysite.internal" `

-KeyAlgorithm RSA `

-KeyLength 4096 `

-HashAlgorithm SHA256 `

-CertStoreLocation "Cert:\LocalMachine\My"

2. 严格限制使用范围

- 仅限内网/测试环境

- IP限制访问

- VPN隧道保护

3. 集中分发与管理

- 通过组策略(GPO)部署到域内计算机的信任库

- MDM管理移动设备上的安装

- Ansible/Puppet等工具自动化部署

4. 监控与响应

```bash

OpenSSL检查示例(可在监控系统中定期执行)

openssl s_client -connect mysite:443 \

| openssl x509 -noout -dates \

&& echo "Certificate is valid"

5. 明确的过期策略

PowerShell检查即将过期的例子

$certs = Get-ChildItem Cert:\LocalMachine\My\

$alertDate = (Get-Date).AddDays(30)

$certs | Where {$_.NotAfter -lt $alertDate} | Format-List *

SSL自制vs商业vs私有PKI的选择指南

| 比较项 | 自签名SSL | 商业SSL | 企业私有PKI |

||--|-|-|

| 成本 | $0 | $50-$1000+/年 | $5000+初始投入 |

| 部署难度 | ★☆☆☆☆ | ★★☆☆☆ | ★★★★☆ |

| 浏览器信任 | ? | ? | ?(需预装根证) |

| 身份验证 | ? | ? | ? |

| 适用场景 | Dev/Test/临时方案 | Production面向公众 | Enterprise内部系统 |

IIS中更安全的替代方案

对于Windows/IIS环境，其实有比纯自签名更好的选择：

1. Let's Encrypt免费证书

Windows版certbot示例(需要先安装)

certbot --apache certonly

Let's Encrypt提供90天有效的免费DV SSL，支持自动续期。

2. AD CS企业CA

Windows Server自带Active Directory Certificate Services可以建立内部PKI：

AD CS安装后可通过PS签发Web服务器证照书

Add-CATemplate -Name "WebServer" –Force

Get-CACertificate –RequestFile request.req –CertFile cert.cer

3. Azure Key Vault集成

现代云环境中可将SSL卸载到Key Vault：

Import-AzKeyVaultCertificate `

-VaultName 'MyVault' `

-Name 'MyWebCert' `

-FilePath '.\cert.pfx'

TLS的未来与最佳选择展望

随着TLS1.3普及和零信任架构兴起，"随便搞个加密就行"的时代已经过去。建议：

1?? Public-facing站点：必须使用商业DV以上级别SSL

2?? Intranet关键系统：部署企业PKI至少使用AD CS

3?? Dev/Test环境：可以考虑Let's Encrypt或短期自签名

4?? IoT/IoT场景：考虑PSK或mTLS等更合适的方案

记住："加密≠安全"，完整的TLS实现需要考虑协议版本、密码套件、HSTS、CAA记录等多方面因素。当您下次在IIS中考虑使用自签名SSL时，不妨先评估实际需求和风险再做决定。

TAG:ssl自制证书iis,ssl证书使用教程,ssl证书自签源码,免费ssl证书生成,ssl证书 自己制作,ssl证书自签发