怎么在Windows部署SSL证书
为自己的网站部署SSL证书、开启HTTPS加密访问十分有必要,然而对于大量使用Windows服务器的用户来说,无论是Windows Server还是个人Windows系统搭建的测试环境,都需要去掌握一定的SSL证书部署知识,下文将针对IIS和Apache两款主流服务器在Windows部署SSL证书的步骤。
一、Windows部署SSL证书的前提
1、需要从证书颁发机构申请SSL证书,申请成功后会获得一个证书文件包;
2、必须要拥有Windows服务器的管理员账户权限,才能进行端口开放和软件配置;
3、服务器的防火墙及云服务商的安全组策略已开放443端口,这是HTTPS的默认端口;
4、如果操作系统版本较旧,需要安装微软官方更新补丁,避免兼容性问题。
注:在安信证书申请SSL证书可获得免费安装服务及技术支持。
二、Windows部署SSL证书:IIS
步骤1:导入服务器证书
打开“Internet Information Services(IIS)管理器”,在中间的功能视图中找到并双击服务器证书,在右侧操作栏中点击导入,选择证书文件。如果从CA处下载的是.pfx格式,直接选择并输入密码;如果有.crt和.key文件,需要先合并或通过工具导入。
步骤2:绑定HTTPS到网站
在左侧连接栏选择网站,右键点击编辑绑定,点击添加,类型选择https,端口默认为443,在SSL证书的下拉框中选择刚刚导入的证书并确定。如果需要在同一个IP上部署多域名证书,勾选“需要服务器名称指示”。
三、Windows部署SSL证书:Apache
在Windows上运行Apache(如XAMPP或WAMP环境)的用户,部署SSL证书主要涉及配置文件的修改。
步骤1:上传证书文件
将证书文件(.crt)、私钥文件(.key)和中间证书(.chain.crt)上传到服务器的一个安全目录。
步骤2:修改Apache配置文件
打开Apache的配置文件httpd-ssl.conf或httpd.conf,保证mod_ssl模块已加载,找到虚拟主机配置段<VirtualHost*:443>,进行如下修改:
需要将服务器证书和中间证书合并为一个文件(fullchain.pem),然后在配置中指定:
SSLCertificateFile”D:certyourdomain_fullchain.pem”
SSLCertificateKeyFile”D:certyourdomain.key”
步骤3:强制HTTP跳转HTTPS
为了提高SEO排名和用户体验,建议开启HTTP自动跳转到HTTPS,在Apache的HTTP虚拟主机(端口80)配置中添加重定向规则:
RewriteEngine On
RewriteRule^(.*)$https://%{HTTP_HOST}$1[R=301,L]
四、Windows部署SSL证书的常见问题
1、证书链不完整
部署成功后,有一部分手机或旧电脑访问网站时会出现“证书不受信任”等提示,有可能是遗漏了中间证书,一定要在服务器中导入或正确配置完整的证书链。
2、私钥不匹配
如果在导入证书时出现“私钥缺失”的报错,原因是在生成CSR文件和下载证书不是在同一个机器上,导致私钥对不上,必须要找到最初生成CSR的那台服务器进行导入。
3、中级证书过期
服务器上缓存了旧的中级证书很可能会导致客户端提示中级证书过期,需要删除服务器“中级证书颁发机构”存储区中的过期证书,并更新最新的中级证书文件。
无论使用哪一种服务器,Windows部署SSL证书都需要掌握一定的技术操作能力,选择正规服务商可提供一站式服务,极大减轻运维负担,顺利实现网站的HTTPS升级。
