环境说明

● 建议使用 IIS8(支持 SNI)，一个站点一个端口允许同时部署多张证书。

● Win7，server 2008 r2 ，win8 ，win2012 系统上关于加密套件的补丁 。

● https://technet.microsoft.com/zh-CN/library/security/3042058.aspx?f=255&MSPPError=-21 47217396。

● 对于 IIS6,IIS7,IIS8,操作具体通用性。

一、获取证书

这里需要 pfx/p12(pkcs12)格式的证书。

MPKI 方式：

1、登录https://mpki.trustasia.com

2、证书下载 pkcs12 格式(得到一个 pfx 后缀的证书文件)。此 pfx 文件密码就是证书密码。

非 MPKI

1、CSR 对应的 key 文件

2、证书邮件里提取代码，里面可能有多段代码，把第一段—–BEGIN CERTIFICATE—–到 —–END CERTIFICATE—–(包括开头和结尾，不用换行)复制到 txt 文本文件里，然后保 存为 cer 后缀，得到证书文件。注意证书链部分不使用。

3、使用工具 https://myssl.com/cert_convert.html，进行格式转换，选择 pem 转 pkcs12。

二、导入证书

IIS 使用的是系统证书库中的证书。所以证书是要导入系统的。导入到 mmc 中 1。

运行 mmc

使用计算机账户添加证书单元。主要是计算机账户，其他保持默认设置即可。

在“个人”下面的证书中导入 pfx 文件。

所有任务—>导入证书

调整证书链。将中级证书剪切到 “中级证书颁发机构”下的“证书”中。

三、SSL 配置

到 IIS 中绑定导入的证书

四、优化 SSL

运行工具:http://www.trustasia.com/down/ssltools.zip

协议部分:只勾选 TLS1.0 TLS1.1 TLS1.2

套件部分:去掉带 DHE,RC4,NULL,MD5(ECDHE 的保留)

然后重启系统。

http 跳转 https(建议非强制) 安装 rewrite 模块，下载模块

五、检测

https 的端口没做限制后(防火墙放行，端口转发正常)，到 ：

https://myssl.com，进行检测 ：

https://www.iis.net/downloads/microsoft/url-rewrite

评级达到 B 以上，在安全和兼容方面是较不错的。