首页/文档/IIS 集中式证书

WINDOWS IIS

把 IIS 也改造成可自动维护证书的模式

在 IIS 里逐个站点手动绑定证书，后续更换证书时也要逐个站点更新，维护成本很高。启用 IIS 集中式证书后，IIS 就能像 Nginx 一样通过固定路径读取证书文件，适合和 CertDeployTool 组合使用。

1. 安装 IIS 集中式 SSL 证书支持

在服务器管理器中添加角色和功能，在 Web 服务(IIS) 的安全性里勾选“集中式 SSL 证书支持”。

安装 IIS 集中式证书功能

2. 在 IIS 管理器中配置证书存储路径

安装完成后重新打开 IIS 管理器，在主页里会看到“集中式证书”。将证书物理存放路径配置为固定目录，例如 C:\Software\IISSSL。

IIS 集中式证书入口

配置集中式证书

CertSvc 平台签发的默认 pfx 证书密码为 0123456789。

3. 放入一份 pfx 证书做验证

先把下载好的 pfx 文件放到目标目录，再重新打开 IIS 管理器确认集中式证书列表中已经识别到该证书。

放入 pfx 证书

IIS 识别证书

4. 新建站点时启用集中式证书存储

给站点绑定 HTTPS 时，勾选“需要服务器名称指示”和“使用集中式证书存储”，这样后续只要同路径里的证书文件被更新，IIS 就能继续使用最新证书。

站点绑定集中式证书

5. 与 CertDeployTool 组合

启用集中式证书后，把 CertDeployTool 的输出路径指向该目录，格式设为 pfx，就可以实现 IIS 证书自动更新，无需逐站点手工重新绑定。