环境说明

• 建议使用IIS8（支持SNI），一个站点一个端口允许同时部署多张证书。
• 
  
• Win7，server 2008 r2 ，win8 ，win2012系统上关于加密套件的补丁https://technet.microsoft.com/zh-CN/library/security/3042058.aspx?f=255&MSPPError=-2147217396。
• 
  
• 对于IIS6,IIS7,IIS8,操作具体通用性。

获取证书

这里需要pfx/p12（pkcs12）格式的证书。

• MPKI方式：

1.     登录https://mpki.trustasia.com。

2.     证书下载pkcs12格式（得到一个pfx后缀的证书文件）。此pfx文件密码就是证书密码。

• 非MPKI方式：

1.     CSR对应的key文件

2.     证书邮件里提取代码，里面可能有多段代码，把第一段-----BEGIN CERTIFICATE-----到-----END CERTIFICATE-----（包括开头和结尾，不用换行）复制到txt文本文件里，然后保存为cer后缀，得到证书文件。注意证书链部分不使用。

3.     使用工具https://myssl.com/cert_convert.html，进行格式转换，选择pem转pkcs12.

导入证书

IIS使用的是系统证书库中的证书。所以证书是要导入系统的。导入到mmc中：

1.  运行mmc。 

2.     使用计算机账户添加证书单元。主要是计算机账户，其他保持默认设置即可。

3.     在“个人”下面的证书中导入pfx文件。

4.     所有任务—>导入证书。

5.     调整证书链。将中级证书剪切到 “中级证书颁发机构”下的“证书”中。

SSL配置

到IIS中绑定导入的证书。 

优化SSL

运行工具：http://www.trustasia.com/down/ssltools.zip

• 协议部分：只勾选TLS1.0 TLS1.1 TLS1.2
• 
  
• 套件部分：去掉带DHE,RC4,NULL,MD5（ECDHE的保留）
• 
  
• 然后重启系统。

  

http跳转https（建议非强制）

安装rewrite模块，下载模块：

https://www.iis.net/downloads/microsoft/url-rewrite 

检测

https的端口没做限制后（防火墙放行，端口转发正常），到https://myssl.com进行检测。

评级达到B以上，在安全和兼容方面是较不错的。

在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
让资讯触达的更精准有趣：https://www.0xu.cn/