銜接上一篇文章，提到了公司只能提供 Nginx 下的 SSL 證書，卻要在 IIS 里面開啟 https 這個(gè)問題。本來想去申請(qǐng)上次分享的沃通免費(fèi) SSL 證書。結(jié)果發(fā)現(xiàn)我并沒有域名控制權(quán)，只好作罷。

轉(zhuǎn)念一想，既然沒有那我就生成一個(gè)好了！于是在百度搜索：pem to pfx （pem 是 nginx 下的證書格式，pfx 是 IIS7 下的證書格式）、SSL 證書轉(zhuǎn)換等關(guān)鍵詞。結(jié)果只搜到從 pfx 到 pem 的轉(zhuǎn)換，而且是通過 openssl 和一大堆麻煩的步驟！

我是一個(gè)很懶的人，所以并不想在這棵樹上吊死，于是到谷歌搜一下老外的工具。我深知在谷歌搜老外的最好是用英文，于是直接搜索 pem to pfx，果然一下就被我找到了：

Ps：要是不會(huì)翻谷歌，可以用谷粉搜搜引擎（自己百度地址），和谷歌一樣的結(jié)果。

一、證書轉(zhuǎn)換

1、在線轉(zhuǎn)換

我隨便點(diǎn)開第一個(gè)發(fā)現(xiàn)就可以成功轉(zhuǎn)換！下面是簡(jiǎn)單分享：

工具地址：https://www.sslshopper.com/ssl-converter.html

簡(jiǎn)單步驟：

①、選擇轉(zhuǎn)換后的格式（Type To Convert To），這里我選擇 IIS 專用的 pfx：

②、選擇后欄位即刻發(fā)生改變，這時(shí)候需要上傳 nginx 下的*.pem 和*.key2 個(gè)證書相關(guān)文件，然后輸入你自定義的證書密碼，最后點(diǎn)擊最下面的藍(lán)色按鈕（Convert Certificate）即可下載到轉(zhuǎn)換后的 pfx 證書了！

2、通過一些網(wǎng)站來實(shí)現(xiàn)

寶塔

上傳證書后然后下載證書就可以看到多種平臺(tái)的文件了。

當(dāng)然很多支持https平臺(tái)都有這個(gè)功能

3、命令行

Apache使用的SSL證書是.crt格式，如果你的網(wǎng)站從Apache換到了windows主機(jī)的iis上，這個(gè)時(shí)候要將原來的證書放到iis上使用，是不能夠直接使用這個(gè)證書的，你首先要將.crt格式的證書轉(zhuǎn)換成.pfx格式，這個(gè)可以通過一句命令在Linux主機(jī)上完成轉(zhuǎn)換

openssl pkcs12 -export -out ssl2_me.pfx -inkey ssl2_me.key -in ssl2_me.crt

運(yùn)行命令后，將會(huì)提示你輸入兩次相同的密碼，你可以設(shè)置一個(gè)密碼，你在iis上導(dǎo)入證書的時(shí)候?qū)?huì)用到。
上面命令中的ssl2_me.crt 替換成你自己的證書文件名， ssl2_me.key替換成你自己的key文件名，ssl2_me.pfx替換成你自己的pfx證書名。

二、導(dǎo)入證書

之前分享過在Linux 服務(wù)器下開啟 https 的方法，而這次是 IIS，所以也簡(jiǎn)單分享一下。

①、添加證書管理

IIS 服務(wù)器->開始->運(yùn)行->輸入 MMC->確定后彈出如下界面->點(diǎn)擊文件->選擇添加/刪除管理單元：

②、下拉左邊列表，找到證書并添加：

③、選擇計(jì)算機(jī)賬戶：

④、跟著向?qū)Ю^續(xù)下一步并完成后，剛剛的 MMC 控制界面就可以看到【證書】選項(xiàng)了，如圖點(diǎn)開個(gè)人選項(xiàng)，并右鍵證書，在所有任務(wù)里面選擇導(dǎo)入：

⑤、在彈出的界面的右下角，選擇個(gè)人信息交換 pfx 格式，并選擇剛剛通過在線轉(zhuǎn)換得到的 pfx 證書：

⑥、后面繼續(xù)跟著向?qū)Р僮髦钡綄?dǎo)入成功（導(dǎo)入時(shí)需要輸入之前設(shè)置的證書密碼），刷新管理界面看到證書即可。

三、分配證書

①、打開 IIS7.0 管理器面板，找到待部署證書的站點(diǎn)，點(diǎn)擊“綁定”如圖：

②、選擇“綁定”->“添加”->“類型選擇 https” ->“端口 443” ->“ssl 證書【導(dǎo)入的證書名稱】” ->“確定”，SSL 缺省端口為 443 端口，如圖：

確定后，就成功了，你可以通過 https 訪問該站點(diǎn)測(cè)試效果。當(dāng)然 https 頁(yè)面里面是不允許出現(xiàn) http 資源的，否則瀏覽器會(huì)自動(dòng)攔截。解決方法就是講這些 http 資源全改成 https 資源或者將 http://**.js 改成 ://**.js 這種靈活的相對(duì)路徑，當(dāng)然前提是這個(gè)資源支持 https 協(xié)議。

好了，就分享這么多，比較簡(jiǎn)單的經(jīng)驗(yàn)，希望能節(jié)省不少苦逼的轉(zhuǎn)換和設(shè)置時(shí)間！

最新評(píng)論