本文介绍如何在IIS(Internet Information Services)服务器导入SSL证书,具体包括下载以及导入PFX格式的证书文件的方法、为网站绑定证书的参数配置,以及安装证书后的效果验证。成功配置SSL证书后,您将能够通过HTTPS加密通道安全访问IIS服务器,确保数据传输的安全性。
本文以Windows Server 2012 R2操作系统、IIS 8为例介绍,不同版本的Windows操作系统或IIS服务器,导入证书或为网站绑定证书的操作有所差异,如有问题,请联系商务经理进行咨询。
前提条件
步骤一:下载SSL证书
登录数字证书管理服务控制台。
在左侧导航栏,选择。
在SSL证书管理页面,定位到目标证书,在操作列,单击更多,然后选择下载页签。
在服务器类型为IIS的操作列,单击下载。
解压缩已下载的SSL证书压缩包。
根据您在提交证书申请时选择的CSR生成方式,解压缩获得的文件不同,具体如下表所示。
CSR生成方式
证书压缩包包含的文件
系统生成
证书文件(PFX格式):默认以证书ID_证书绑定域名命名。
密码文件(TXT格式):默认以证书格式-password命名。
重要每次下载证书时都会产生新的密码,该密码仅匹配本次下载的证书文件。
手动填写
如果您填写的是通过数字证书管理服务控制台创建的CSR,下载后包含的证书文件与系统生成的一致。
如果您填写的不是通过数字证书管理服务控制台创建的CSR,下载后只包括证书文件(PEM格式),不包含证书密码或私钥文件。您可以通过证书工具,将证书文件和您持有的证书密码或私钥文件转换成所需格式。转换证书格式的具体操作,请参见证书格式转换。
步骤二:导入SSL证书
连接到装有Windows Server 2012 R2操作系统的服务器。
如果使用云服务器ECS,您可以通过多种方式连接云服务器ECS。关于连接方式的更多信息,请参见ECS远程连接方式概述。
将解压后的SSL证书文件上传至服务器。
说明您可以使用远程登录工具附带的本地文件上传功能,上传文件。例如PuTTy、Xshell或WinSCP等。如果您使用的阿里云云服务器 ECS,上传文件具体操作,请参见上传或下载文件(Windows)或上传文件到Linux云服务器。
在服务器上使用Win+R组合键,打开运行对话框,输入mmc,单击确定。
在MMC控制台,添加证书管理单元。
在控制台的顶部菜单栏,选择 。
在添加或删除管理单元对话框,从左侧可用的管理单元列表中选择证书,单击添加。
在证书管理单元对话框,选择计算机账户,单击下一步。
在选择计算机对话框,选择本地计算机(运行此控制台的计算机),单击完成。
在添加或删除管理单元对话框,单击确定。
在控制台左侧导航栏,展开 ,然后将光标放置在个人并单击鼠标右键,选择 。
根据对话框提示,完成证书导入向导。
欢迎使用证书导入向导:单击下一步。
要导入的文件对话框:单击浏览,打开PFX格式的证书文件,单击下一步。
在打开文件时,您必须先将文件类型设置为所有文件(*),然后再选择证书文件。
私钥保护:打开TXT格式的私钥文件,复制文件内容,并将内容粘贴在密码文本框,单击下一步。
证书存储:选中根据证书类型,自动选择证书存储,单击下一步。
正在完成证书导入向导:单击完成。
收到导入成功提示后,单击确定。
步骤三:为网站绑定SSL证书
单击开始图标,单击服务器管理器。
单击工具,单击Internet Information Services (IIS) 管理器。
在左侧连接区域,展开服务器,单击网站,在网站列表单击对应的网站,在右侧操作区域,单击绑定。
在网站绑定对话框,单击添加。
在添加网站绑定对话框,完成网站的相关配置,并单击确定。
网站绑定的具体配置如下:
类型:选择https。
IP地址:选择服务器的IP地址。
重要部分特殊情况,输入IP地址可能会出现部署证书不成功问题,请您删除后,再尝试部署。
端口:默认为443,无需修改。
说明如果您设置了其他端口,则通过浏览器访问网站时,必须在网站域名后输入端口号才能访问网站。 例如,您的域名为domain.com,端口为443时,用户可以直接使用https://domain.com或https://domain.com:443访问网站;如果端口号修改为8443,则用户必须使用https://domain.com:8443才能访问网站。
主机名:填写网站域名。
SSL证书:选择已导入的证书。
完成配置后,您可以在网站绑定列表查看已添加的https类型网站绑定。
在网站绑定对话框,单击关闭。
步骤四:验证SSL证书是否安装成功
证书安装完成后,您可通过访问证书的绑定域名验证该证书是否安装成功。
https://yourdomain #需要将yourdomain替换成证书绑定的域名。
如果网页地址栏出现小锁标志,表示证书已经安装成功。