主题
IIS 自动部署
服务器环境
- 操作系统:Windows Server 2012+ / Windows 8+
- Web 服务器:IIS 8.0+
- 权限要求:管理员身份运行
功能概览
- 扫描 IIS 站点和绑定信息
- 查看已安装的 SSL 证书
- 从部署接口自动获取并安装证书
- 自动绑定 SSL 证书到匹配的 IIS 站点(SNI 模式)
- 一键启动自动部署服务,定时检查和续签证书
在证书详情页的「一键部署」中选择 IIS,复制安装命令与一键部署命令:
安装步骤
1. 下载工具
在证书详情页复制 PowerShell 安装命令到服务器执行,或按提示手动下载 sslctlw.exe 保存到服务器任意目录。PowerShell 安装过程如下图所示:
2. 启动程序
右键 sslctlw.exe,选择"以管理员身份运行"。程序自动扫描 IIS 站点和已安装的证书。
3. 一键部署
点击主界面的「一键部署」按钮,粘贴证书详情页复制的一键部署命令并执行,工具会自动完成:
- 从部署接口获取证书信息
- 将 PEM 证书转换为 PFX 格式并安装到本机证书存储
- 自动匹配 IIS 站点并绑定 SSL 证书(SNI 模式)
- 创建 Windows 计划任务,按配置的间隔定时检查并自动续签
部署完成后,可在主界面使用:
- 「停止自动部署」:停用计划任务
- 「立即检测」:手动触发一次证书检查和部署
- 「配置任务」:管理已导入的证书与自动续签
手动安装证书
如果不使用部署接口,也可以手动安装 PFX 证书:
- 点击"安装证书"按钮
- 选择 PFX 证书文件
- 输入证书密码
- 安装完成后,选择站点点击"绑定证书"进行绑定
证书管理
点击"配置任务"按钮打开证书管理对话框,可以:
- 查看已导入的证书列表和过期时间
- 启用或停用单个证书的自动续签
- 配置验证方法(本机提交模式需要)
续签模式
服务端默认在证书到期前 14 天 自动续签,本地选择对应的续签模式:
| 模式 | 说明 | 验证处理 |
|---|---|---|
| 服务端重签(默认) | 等待服务端续签后拉取新证书 | 服务端处理 |
| 本机提交 | 本地生成私钥与 CSR 提交签发,私钥不出服务器 | 客户端处理 |
验证方式
本机提交模式下需要选择域名验证方式(服务端重签模式由服务端处理,无需配置):
| 方式 | 适用域名类型 | 工具行为 |
|---|---|---|
| 文件验证 | 普通域名、IP | 工具在站点根目录自动放置验证文件,签发后清理 |
| 域名委托 | 普通域名、通配符域名 | 由 DNS CNAME 委托到平台,需预先配置 |
约束:
- IP 域名:只能使用文件验证
- 通配符域名:只能使用域名委托
- 普通域名:两者均可
域名委托的 CNAME 配置参见 自动化验证。
常见问题
程序无法启动
- 确保以管理员身份运行
- 确保 IIS 已安装并正常运行
扫描不到站点
- 检查 IIS 服务是否正常启动
- 确认站点已在 IIS 管理器中创建
证书绑定失败
- 检查 443 端口是否被其他程序占用
- 确认站点已配置域名绑定
- SNI 模式要求 IIS 8.0+(Windows Server 2012+)
自动部署不生效
- 确认已执行一键部署命令
- 查看工具日志排查错误原因