IIS服务器域名证书续订
在windows的iis服务器上,启用https通过域名证书并非易事,尤其是在iis 7.5及更早版本中,添加https站点时无法直接指定主机头(即域名)。这意味着需要在添加https站点后手动编辑iis的配置文件,这增加了操作的复杂性。此外,如果配置发生变化,可能会影响到现有的https站点,存在不少潜在问题。当域名证书到期需要更换时,如果之前添加了多个https站点,每个站点都需要重新选择证书并修改iis配置,这无疑是一个繁琐的过程。
那么,当域名证书到期时,有没有办法简化操作呢?答案是肯定的,可以通过证书续订来简化流程。
证书续订需要使用cer格式的证书。我们以从阿里云申请的通配符域名证书为例,来说明如何进行格式转换。阿里云提供的证书下载格式包括pem和pfx,但没有cer格式,需要自己进行转换。下面介绍如何将格式从pem转换为cer:
pem转换为cer需要使用OpenSSL工具,并且需要key文件。转换过程需要进行三次操作:
- 首先从pem转换为p12格式,需要设置密码:
OpenSSL> pkcs12 -export -out a.p12 -in 1.pem -inkey 1.key Loading 'screen' into random state - done Enter Export Password: Verifying - Enter Export Password:
pem -inkey 1.key
Loading 'screen' into random state - done
Enter Export Password:
Verifying - Enter Export Password:- 然后从p12转换为crt格式,输入第一步设置的密码:
OpenSSL> pkcs12 -in a.p12 -out b.crt -nokeys -clcerts Enter Import Password: MAC verified OK
- 最后一步,从crt转换为cer格式:
OpenSSL> x509 -inform pem -in b.crt -outform der -out c.cer OpenSSL>
使用OpenSSL进行证书格式转换
完成格式转换后,将生成的cer文件上传到服务器,存放在任意位置。接下来,打开IIS管理器,选择IIS管理器的网站根,在右侧功能区,打开“服务器证书”。
打开服务器证书
选中需要续订的证书,然后点击右侧栏的“续订”按钮。
选择续订
在“续订现有证书”对话框中,选择最后一项:“完成证书续订申请”。
完成证书续订申请
选择我们转换为cer的新证书。
选择证书
点击“完成”按钮,完成续订申请。
完成
完成上述步骤后,随便打开一个HTTPS网站,查看证书详情,会发现过期日期已经更新为最新。
Windows版OpenSSL下载:点击下载OpenSSL
