HTTPS证书申请及windows server部署

2017年1月1日起，苹果强制所有 app 满足 HTTPS。微信企业号也发布公共要求企业号内部的链接需要启用HTTPS。

申请免费HTTPS证书

有免费的当然申请免费的，现在市面上靠谱的证书供应商

1. 腾讯云SSL证书管理（赛门铁克TrustAsia DV SSL证书）支持下载证书 1年有效期
2. 阿里云云盾证书服务（赛门铁克DV SSL证书） 不支持下载证书
3. 百度云SSL证书服务 不支持下载证书
4. Let's Encrypt 支持下载证书 90天有效期 可以通过软件自动续期

StartSSL免费DV证书 沃通（Wosign）免费DV证书 这两个已经被苹果拉入黑名单。我10月份在StartSSL申请的证书还可以使用。但是近期申请的已经不被信任，苹果设备上使用近期申请的证书都已经无法打开（亲测）。 如果证书无效或不被信任在微信企业号里面打开的时候会提示 网络出错，请轻触重新加载 -1202的提示。 -1202的错误的意思就是kCFURLErrorServerCertificateUntrusted

部署HTTPS证书

最后我申请的是腾讯云SSL证书，1年有效期，需要添加一条DNS的CNAME记录来验证。验证通过后就可以下载证书到本地部署。我用的Windows的服务器，部署起来也很方便。总的来说只要2步就可以。先导入证书（腾讯云是直接提供pfx格式的证书的直接可以导入），再绑定到网站上，具体可以参考： 有了SSL证书，如何在IIS环境下部署https？【转载】 - paul_hch - 博客园

如果导入证书后提示，中间证书链有问题或提示windows没有足够信息 不能验证该证书，都是因为中间证书没有安装导致的。可以先将腾讯云上下载的证书导入一个能上网的电脑上，然后再导出证书，注意勾选如果可以导出所有路径的证书选项，然后再将导出的证书导入到服务器上的个人证书中，这时候会导入三个证书，其中两个是中间证书，将这两个剪切到中间证书那个文件夹中即可。参考： Windows平台 Pfx文件导入安装法及证书链调整 - 亚洲诚信

Let's Encrypt 如果使用Let’s Encrypt来生成证书的话，在windows下是有客户端的，下载地址：https://github.com/Lone-Coder/letsencrypt-win-simple/releases 打几个命令就可以生成证书，但是这个证书只有90天有效期，这个软件默认会在60天的时候更新有效期。 需要注意的是：在生成证书的过程中，会自动产生一个文件到你的网站目录，验证的时候需要通过你的域名访问到这个文件才行。而且必须是通过80端口访问。如果你的服务器80被关了，那就无法认证通过了。我就是这个原因后来没采用Let's Encrypt。

验证HTTPS证书

可以通过 SSL证书 - 腾讯云 这里的苹果ATS检测，来查看HTTPS证书存在的问题，有问题会给出提示和相应的解决方法。这里检测通过后，最好还要再用iphone10.2系统中用Safari打开下，如果能打开那就没有问题了。 当时验证的时候出了一个不支持TLS1.2问题，因为Windows 2008及更早的版本不支持TLS1_2协议，解决方法参考： 苹果ATS特性服务器配置指南 - SSL证书 - 产品文档 - 帮助与文档 - 腾讯云

其他参考文献

https://github.com/Lone-Coder/letsencrypt-win-simple 谷歌也不信任沃通的证书了，StartCom CA 一并受到同等处罚 - 爱程序网 ssl证书格式转换 - Weekend的日志 - 网易博客 Technical Note TN2232: HTTPS Server Trust Evaluation