有关使用自签名证书在IIS 7.0上启用SSL的问题

Question

如果我们需要保护网站或使用HTTPS作为我们的网站，那么我们需要在iis级别使用证书。在开发pc时，我们经常使用Self-Signed Certificates，它可以很容易地从IIS中创建。

我访问这个url http://weblogs.asp.net/scottgu/archive/2007/04/06/tip-trick-enabling-ssl-on-iis7-using-self-signed-certificates.aspx来了解如何为我们的站点创建和使用SSL。

当我们在本地pc上运行或测试网站时，我觉得自己签署的证书不像人们购买的真实生活证书。在这里，我添加了几张图片，你可以看到我说的是什么样的问题。

​

​

​

看看第二张照片，看看url。在ssl的情况下，一个带有绿色的锁标志。因此，只要指导我，我们还需要做什么，作为一个结果，Self-Signed Certificates只是工作，就像我的个人电脑的真实生活证书。请详细讨论这一点，或者重定向到正确的文章，这篇文章可以显示其他配置结果，浏览器地址栏应该正确地反映SSL。

谢谢

Answer 1

在生产网站中，您需要购买SSL证书，因为访问者的浏览器不能信任自签名证书，因为他们无法验证颁发者。

尽管如此，为了开发和测试目的，您所描述的行为是可以的，但是如果您确实需要消除警告，则需要在本地PC (所有您不希望看到警告的PC)中注册证书，然后在IIS中的网站上使用相同的证书。

从第2步开始遵循本指南，但是下面是提纲：

首先，您需要将证书复制到本地PC：

• 在IIS中，将证书导出到文件中。
• 将文件复制到本地PC上。
• 使用MMC从文件导入证书。确保将其导入到Personal文件夹。
• 对所有个人电脑重复最后两个步骤。

现在您已经在本地PC上注册了证书，您需要告诉您的PC信任它：

• 在MMC中查看证书，然后转到第二个"Details“选项卡。
• 向下滚动到“拇指打印”，并选择它来显示证书哈希。
• 将has复制到剪贴板(散列标识证书)。
• 打开记事本并将散列粘贴到那里。
• 使用记事本中的“替换”功能删除散列中的所有空格。
• 在以下命令中使用哈希：

netsh http添加sslcert ipport=0.0.0.0:443 appid={214124cd-d05b-4309-9af9-9caa44b2b74a} certhash=PASTE_YOUR_CERT_HASH_HERE

注意："AppId“并不重要，它只是一个GUID。

• 在MMC中，将证书从个人文件夹移动到可信根证书文件夹。

Answer 2

证书的工作原理是一样的。问题是，自签名证书并不总是包含在浏览器的可信颁发机构中。如果您的唯一目的是开发，您可以遵循以下这里的方法：向受信任的权威机构添加颁发机构(self)或将证书本身添加为受信任的证书。