Server 2012 SSL证书绑定后网站仍显示不安全？

一、现象层：浏览器明确提示“不安全”，但HTTPS已启用

用户访问 https://example.com 时，地址栏显示红色警告图标、锁形图标被划掉，或提示“您的连接不是私密连接”（Chrome）/“此网站不安全”（Edge）。此时IIS中已配置HTTPS绑定且服务正常响应，HTTP状态码为200，但TLS握手后证书链验证失败——这是典型信任链断裂的表层信号。

二、协议层：TLS握手失败的核心根源——证书链不完整

• IIS 8.0（Windows Server 2012默认版本）仅将服务器证书（End-Entity Certificate）导入Personal存储，不会自动安装中间CA证书到Intermediate Certification Authorities存储；
• 现代浏览器（Chrome 90+、Firefox 85+）强制执行CA/B Forum BR v1.8.1，要求服务器在TLS Certificate 消息中必须发送完整证书链（含服务器证书 + 所有中间证书），但不含根证书；
• 若IIS未通过“证书导出→合并PEM→PFX重导入”或“手动补全中间证书存储”，则ServerHello后仅发送终端证书，客户端无法上溯至可信根，直接触发ssl_error_bad_cert_domain或NET::ERR_CERT_AUTHORITY_INVALID。

三、系统层：Windows证书存储体系与IIS证书加载机制

使用 certlm.msc（本地计算机证书管理器）需同步检查以下三个关键存储区：

四、配置层：IIS绑定与SSL设置的隐性依赖项

完成证书导入后，必须执行以下不可跳过的IIS配置动作：

1. 在站点绑定中，HTTPS类型绑定必须指定端口 443（非444、8443等非标端口），并准确选择证书名称（注意：名称需与certlm.msc → Personal中显示的“颁发给”字段完全一致）；
2. 进入站点 → SSL设置 → 勾选 要求SSL，但切勿勾选“需要客户端证书”（否则触发双向认证，导致普通浏览器拒绝连接）；
3. 多域名共用IP场景下，必须启用 SNI（Server Name Indication）：在绑定编辑窗口勾选 需要服务器名称指示，并填入对应主机头（如www.example.com）；
4. 验证证书域名匹配性：通配符证书*.example.com不覆盖example.com（需单独申请或使用多域名SAN证书）。

五、验证层：从本地诊断到权威第三方扫描的闭环验证

六、修复层：标准化中间证书链补全操作流程

以Let’s Encrypt证书为例（acme.sh或Certbot生成）：

1. 获取完整链文件：fullchain.pem = cert.pem + chain.pem；
2. 导出PFX含中间证书：openssl pkcs12 -export -out example.com.pfx -inkey privkey.pem -in fullchain.pem；
3. 在certlm.msc中右键Personal → All Tasks → Import，选择该PFX并勾选标记此密钥为可导出与自动选择证书存储；
4. 打开IIS管理器 → 服务器节点 → 服务器证书 → 确认新证书显示为“有效”，且“颁发者”字段包含中间CA名称（如“R3”）；
5. 重新绑定HTTPS，勾选SNI（如适用），应用后执行iisreset /noforce。

七、进阶层：Windows Server 2012特有问题与兼容性加固

• SHA-1根证书淘汰：WS2012默认信任部分SHA-1根（如AddTrust External CA Root），但2025年起主流CA已弃用，需手动导入SHA-2根证书（微软KB4472021补丁包含更新）；
• TLS协议栈限制：默认启用TLS 1.0/1.1，建议通过组策略Computer Configuration → Administrative Templates → Network → SSL Configuration Settings禁用弱协议；
• 私钥CSP兼容性：若证书由旧版CryptoAPI生成，需确保IIS使用Microsoft RSA SChannel Cryptographic Provider而非Microsoft Software Key Storage Provider（后者仅Win10+/WS2016+原生支持）。