• 建议使用 IIS8(支持 SNI)，一个站点一个端口允许同时部署多张证书
• Win7，server 2008 r2 ，win8 ，win2012 系统上关于加密套件的补丁 https://technet.microsoft.com/zh-CN/library/security/3042058.aspx?f=255&MSPPError=-21 47217396
• 对于 IIS6,IIS7,IIS8,操作具体通用性

这里需要 pfx/p12(pkcs12)格式的证书.

MPKI 方式:

1. 登录 https://mpki.trustasia.com
2. 证书下载 pkcs12 格式(得到一个 pfx 后缀的证书文件)。此 pfx 文件密码就是证书密码

非 MPKI

1. CSR 对应的 key 文件
2. 证书邮件里提取代码，里面可能有多段代码，把第一段—–BEGIN CERTIFICATE—–到 —–END CERTIFICATE—–(包括开头和结尾，不用换行)复制到 txt 文本文件里，然后保 存为 cer 后缀，得到证书文件。注意证书链部分不使用。
3. 使用工具 https://myssl.com/cert_convert.html，进行格式转换，选择 pem 转 pkcs12。

IIS 使用的是系统证书库中的证书。所以证书是要导入系统的。导入到 mmc 中 1。

运行 mmc

1. 使用计算机账户添加证书单元。主要是计算机账户，其他保持默认设置即可。

1. 在“个人”下面的证书中导入 pfx 文件。
2. 所有任务—>导入证书

1. 调整证书链。将中级证书剪切到 “中级证书颁发机构”下的“证书”中。

到 IIS 中绑定导入的证书

运行工具:http://www.trustasia.com/down/ssltools.zip

协议部分:只勾选 TLS1.0 TLS1.1 TLS1.2

套件部分:去掉带 DHE,RC4,NULL,MD5(ECDHE 的保留)

然后重启系统。

http 跳转 https(建议非强制) 安装 rewrite 模块，下载模块

https 的端口没做限制后(防火墙放行，端口转发正常)，到 https://myssl.com 进行检测 https://www.iis.net/downloads/microsoft/url-rewrite

评级达到 B 以上，在安全和兼容方面是较不错的。