Windows Server 2008R2服务器 IIS7.0 安装SSL证书并绑定https

本例以阿里云服务器来解说，本服务器为Winodws Server 2008 R2（一般现在至少是2012版本了）默认IIS为7.0

第一步： 在阿里云上申请好证书并下载IIS版本，下载后上传到服务器中，如下图：

第二步：导入证书

1. 在服务器按Win+R键，打开运行。输入mmc，单击确定，打开Windows服务器控制台（MMC，Microsoft Management Console）。为本地计算机添加证书管理单元
2. 在控制台的顶部菜单栏，选择文件 > 添加/删除管理单元。
   
3. 在添加或删除管理单元对话框，从左侧可用的管理单元列表中选择证书，单击添加。
   
4. 在证书管理单元对话框，选择计算机账户，单击下一步。
5. 在选择计算机对话框，选择本地计算机（运行此控制台的计算机），单击完成。
6. 在添加或删除管理单元对话框，单击确定。
7. 在控制台左侧导航栏，展开控制台根节点 > 证书（本地计算机），然后将光标放置在个人上并打开右键菜单，选择所有任务 > 导入。
   
8. 打开证书导入向导，根据对话框提示，完成证书导入向导。
9. 要导入的文件对话框：单击浏览，打开PFX格式的证书要导入的文件。（ 注意：在打开文件时，您必须先将文件类型设置为所有文件（*），然后再选择证书文件。）导入证书
   
   
10. 私钥保护：打开TXT格式的私钥文件，复制文件内容，并将内容粘贴在密码文本框，单击下一步。
    
11. 证书存储：选中根据证书类型，自动选择证书存储，单击下一步。
    
12. 正在完成证书导入向导：单击完成。
13. 收到导入成功提示后，单击确定。

参考链接：https://help.aliyun.com/document_detail/98729.html?spm=0.2020520163.help.dexternal.1f36fESqfESqgp

第三步： 绑定域名

选择要设置的站点，在右侧点击“绑定...”，再点击“添加”，弹出如下图窗口：

注意红框选择类型为https和你刚才导入的证书，端口默认443无需修改，然后点击确定保存即可。

第四步：测试网站证书安装是否正确

1. 在阿里云上测试，登录阿里云控制台证书管理栏，输入网站即可测试，如下图：
   
2. 在Qualys SSL Labs网站上测试，网址：http://https://www.ssllabs.com/，如下图所示：
   

在以上测试都没问题后，如打开网站提示使用不受支持的协议。ERR_SSL_VERSION_OR_CIPHER_MISMATCH，客户端和服务器不支持常用的SSL协议版本或密码套件。如下图所示：

有可能是因为II7本身的“服务器加密控件”是旧的，所以需要安装以下这个东西IISCrypto，这个软件的下载地址，https://www.nartac.com/Products/IISCrypto/Download 下载 "IIS Crypto GUI" 版本。IISCrypto.exe

完成后运行，如下图：

操作方法：1、点击按钮“BestPractices”选择最佳配置，再勾上Reboot，然后应用“Apply”重启服务器。

第五步：打开浏览器，输入https://你的域名，如下图所示说明一切正常：

第六步：IIS7配置二级域名

1. 独立IP

为每个站点分配一个独立的ip，这样冲突就解决了，甚至主机头也不用添加了。

2. 通配符证书

使用通配证书。我们采用通配证书颁发给.abc.com，如果我们采用颁发给.abc.com的证书，这样任何访问的请求均可以通过该证书解密，证书匹配错误也就不复存在了。

3. IIS8

是升级为IIS8，IIS8中添加的对于SNI(Server Name Indication)的支持，服务器可以通请求中提取出相应的主机头从而找到相应的证书。

4. 手动修改主机名

1. 找到IIS配置文件

注意：这个文件可以无法直接打开编辑，可以先把它复制到桌面上去编辑，编辑完毕后再覆盖回去。

2. 修改配置文件

找到如下位置：

<bindings>
	<binding protocol="net.tcp" bindingInformation="808:*" />
	<binding protocol="net.pipe" bindingInformation="*" />
	<binding protocol="net.msmq" bindingInformation="localhost" />
	<binding protocol="msmq.formatname" bindingInformation="localhost" />
	<binding protocol="http" bindingInformation="*:80:www.0x3.com" />
	<binding protocol="https" bindingInformation="*:443:" />
</bindings>

修改 *:443: 位置

<binding protocol="https" bindingInformation="*:443:www.0x3.com" />

修改完成后，将文件覆盖回去，这时回到IIS控制台（不用重启），可以看到主机名已经成功绑定上了。

这时候就可以正常启用站点了。