SSL 安裝到 Windows Server 完整教學 (2026)

1

購買 SSL 並安裝到 Windows Server 完整教學

整個流程分為 5 個階段,以下逐步說明:

階段一:在 Windows Server 產生 CSR(憑證簽署請求)

  1. 開啟 IIS 管理員(Internet Information Services Manager)
  2. 點選左側的伺服器名稱
  3. 雙擊中間面板的「伺服器憑證」(Server Certificates)
  4. 右側點擊「建立憑證要求」(Create Certificate Request)
  5. 填寫資訊:
    • 一般名稱(Common Name):你的網域,例如 ef.true-win.com
    • 組織(Organization):公司名稱
    • 組織單位(Organizational Unit):部門,例如 IT
    • 城市(City):例如 Taipei
    • 州/省(State):例如 Taiwan
    • 國家(Country)TW
  6. 密碼編譯選擇 RSA,位元長度選 2048 以上
  7. 儲存 CSR 檔案到桌面(例如 csr.txt

階段二 提交 CSR

  1. 登入 進入你購買的憑證 → 點「Activate
  2. csr.txt全部內容(包含 -----BEGIN CERTIFICATE REQUEST----------END CERTIFICATE REQUEST-----)貼上
  3. Web Server 類型選擇「IIS」或「Microsoft
  4. 選擇驗證方式(Email / DNS / HTTP 驗證)
  5. 完成驗證後,Sectigo 會寄發憑證到你的信箱(如截圖所示)

階段三:下載憑證檔案

你會收到以下檔案:

  • domain_com.crt(你的網站憑證)
  • domain_com.ca-bundle(中繼憑證鏈)

階段四:合併並轉換為 PFX 格式(Windows Server 需要)

Windows Server / IIS 無法直接匯入 .crt 檔案,需要轉換成 .pfx 格式。

方法 A:使用 OpenSSL(推薦)

在有安裝 OpenSSL 的電腦上執行(Windows 可安裝 Win64 OpenSSL):

openssl pkcs12 -export \
  -out certificate.pfx \
  -inkey private.key \
  -in domain_com.crt \
  -certfile domain_com.ca-bundle

各參數說明:

  • -inkey private.key:你在產生 CSR 時對應的私鑰檔案
  • -in domain_com.crt:你的網站憑證
  • -certfile domain_com.ca-bundle:中繼憑證鏈
  • -out certificate.pfx:輸出的 PFX 檔案

系統會要求你設定一組匯出密碼,請記住這組密碼。

方法 B:如果 CSR 是在 IIS 產生的(沒有獨立的 private.key)

如果你的 CSR 是透過 IIS 產生的,私鑰已經存在 Windows 裡,請改用「完成憑證要求」的方式(見階段五方法 B)。

階段五:在 Windows Server (IIS) 安裝憑證

方法 A:匯入 PFX 檔案

  1. 開啟 IIS 管理員
  2. 點選伺服器名稱 → 雙擊「伺服器憑證
  3. 右側點「匯入」(Import)
  4. 選擇你的 certificate.pfx 檔案
  5. 輸入你剛才設定的匯出密碼
  6. 憑證存放區選「個人」(Personal)
  7. 點確定完成匯入

方法 B:完成憑證要求(CSR 在 IIS 產生時使用)

  1. 先將 .ca-bundle 中繼憑證匯入:
    • 開啟 mmc.exe → 新增「憑證」嵌入式管理單元 → 選「電腦帳戶
    • 展開「中繼憑證授權單位」→ 右鍵「憑證」→「所有工作」→「匯入
    • 匯入 .ca-bundle 檔案
  2. 回到 IIS 管理員 → 「伺服器憑證
  3. 右側點「完成憑證要求」(Complete Certificate Request)
  4. 選擇你的 .crt 檔案
  5. 輸入一個好記的名稱(例如 ef.true-win.com SSL 2026
  6. 憑證存放區選「個人

階段六:綁定 HTTPS 到網站

  1. 在 IIS 左側展開「網站」→ 選擇你的網站
  2. 右側點「繫結」(Bindings)
  3. 點「新增」(Add)
  4. 類型選 https
  5. 連接埠填 443
  6. 主機名稱填你的網域(例如 tenten.co
  7. SSL 憑證下拉選擇剛匯入的憑證
  8. 勾選「需要伺服器名稱指示」(Require SNI)— 如果同台伺服器有多個 HTTPS 網站
  9. 點確定

驗證是否安裝成功

用瀏覽器打開 URL,點擊網址列的鎖頭圖示確認憑證資訊正確。也可以用線上工具檢查:

https://www.ssllabs.com/ssltest/analyze.html

重要提醒: 如果你的 CSR 是在 IIS 上產生的,請務必使用方法 B(完成憑證要求),不要嘗試用 OpenSSL 轉 PFX,因為你手上不會有獨立的 private.key 檔案。私鑰已經安全地存放在 Windows 的憑證存放區中。

SSL Converter - Convert SSL Certificates to different formats

2

Windows PKCS SSL Generation command

openssl pkcs12 -export \
  -out ef_domain_com.pfx \
  -inkey "domain.com_key.txt" \
  -in ef_domain_com.crt \
  -certfile domain.ca-bundle