【導讀】IIS如何配置SSL證書的本質，不是填一堆神秘參數，而是理清‘誰持有密鑰’‘哪個站點要用它’‘用戶進來時怎么自動切過來’這三個動作之間的關系。

IIS如何配置SSL證書？先看清前提條件
別急著點鼠標，這幾件事必須提前確認：

- Windows Server 版本 ≥ 2012 R2（早期Server 2008 SP2已停止TLSv1.2支持）；
- IIS管理器中能看到「服務器證書」功能模塊（位于左側連接樹頂部）；
- 獲取的證書是.pfx/.p12格式（含私鑰），而非單獨.cer+.key組合——后者IIS無法直接識別；
- PFX文件密碼記得牢，且不含特殊字符（某些老舊.NET Framework版本會對@#$等解析異常）。
如果用的是Let’s Encrypt免費證書，請務必通過win-acme或Certify The Web工具導出為帶密碼的PFX包，不要試圖手動拼裝。

第一步：把證書安全導入IIS服務器證書庫
這是最容易翻車的一環。操作路徑很直觀：

打開IIS管理器 → 左側點擊服務器名 → 雙擊「服務器證書」；
右側操作欄點「導入…」→ 瀏覽找到你的xxx.pfx文件；
輸入創建PFX時設定的密碼 → 「確定」。
? 正確表現：列表中立刻出現一行新紀錄，顯示發行者、有效期、友好名稱（默認取CN值）；
? 異常信號：提示“The password you entered is incorrect”或“No private key found”，說明PFX損壞或密碼不對，勿反復嘗試以免鎖定賬戶。

第二步：將證書綁定到具體網站
這才是真正讓HTTPS生效的動作：

- 在左側網站列表右鍵目標站點 → ?編輯綁定?；
- 點?添加?按鈕 → 類型選https，IP地址建議保持“All Unassigned”，端口443不變；
- 關鍵一步：在「SSL證書」下拉菜單中，選擇剛才導入成功的那一項；
- ? 務必勾選「需要服務器名稱指示(SNI)」——除非你只為這臺機器部署唯一一個HTTPS站點；
- 點確定保存后，回到站點主頁刷新幾次，應該就能看到瀏覽器鎖圖標亮起了。
SNI的作用非常實在：允許多個域名共用同一IP+443端口，現代瀏覽器全部支持，但部分老POS機、工業采集終端可能不兼容，若有此類設備訪問需求，請關閉此項并獨占IP資源。

第三步：讓用戶再也打不開HTTP頁面
光開通HTTPS還不夠，還得堵死明文入口：

安裝URL Rewrite模塊（微軟官方免費插件，搜索“IIS URL Rewrite Download”直達）；
在目標站點根目錄新建web.config文件，插入如下規則：
\n\n\n\n\n\n
保存后再次訪問 http://your-site.com，應自動301跳轉至 https 地址。
這條規則優于單純監聽80端口轉發的方式，因為它發生在IIS管道最前端，性能損耗接近零。

三個高頻故障自查清單
即使全程跟著做，也可能遇到詭異問題。請依次檢查：

- IE/Edge報錯SEC_ERROR_UNKNOWN_ISSUER：多半是你用了自簽名或測試CA證書，未同步導入到Windows“受信任的根證書頒發機構”倉庫；
- Chrome提示Your connection is not private且Details里寫著“This certificate has an invalid extension.”：一般是PFX導出時包含了多余OID字段，換工具重新打包即可；
- iOS Safari白屏或無限loading：檢查是否遺漏了Intermediate CA證書鏈——應在生成PFX前先把中級證書合并進去，而不是指望客戶端自己下載補齊。
最后送一句經驗之談：比起折騰各種優化開關，不如花五分鐘教會同事定期查看IIS日志中的sc-status=4xx/5xx占比變化，那是比任何儀表盤都真實的健康晴雨表。