将 SSL 证书从一台 Windows 服务器转移到另一台服务器是可能的,方法是从已安装证书的一台服务器中导出 PFX 文件,然后将其导入到另一台服务器中。创建 PFX 文件是唯一可以将证书与相应私钥从 Windows 服务器转移的方法。除了证书和私钥之外,PFX 文件还可能包含中间证书。总之,这使 PFX 成为一个统一的受密码保护的容器,用于在单个文件中交换证书信息(公钥和私钥)。
从 Windows 服务器导出证书可以在 Microsoft 管理控制台(MMC)中完成,或在证书已安装的情况下通过 IIS 管理员进行。
使用 MMC 导出
- 按 Win+R,输入 mmc 并点击 确定 打开 Microsoft 管理控制台:
- 在菜单栏中点击 文件,然后选择 添加/删除管理单元:
- 在 '可用管理单元' 中选择 证书,然后点击 添加:
- 选择 计算机帐户:
- 选择 本地计算器 来管理管理单元。
注意:要查看本地计算器存储中的证书,您应以管理员身份登录。
- 点击 确定 将选定的管理单元添加到控制面板窗口中:
- 前往 个人 > 证书 存储,右键单击您要导出的证书,选择 所有任务 > 导出:
- 当证书导出向导打开时,点击 下一步 进一步操作:
- 当出现提示时,选择单选按钮 '是,导出私钥' 然后按 下一步:
如果 '导出私钥' 不能点击,则证书的私钥不可导出或在机器上不存在,您将无法导出 PFX 文件。您需要生成一个可以导出的私钥的新 CSR 代码并重新发放证书以便能够导出证书。
- 在导出文件格式对话窗口中选择 个人信息交换 - PKCS #12 (.PFX) 作为要使用的格式。您还可以选中 如果可能包含所有中间证书 选项,将所有中间证书放入 PFX 文件中。完成后,点击 下一步:
- 指定 PFX 文件的密码并点击 下一步。
这个密码非常重要。请记住它;在新服务器上导入 PFX 文件时,将需要这个密码。
- 指定要导出 PFX 的文件名称和位置。点击 下一步:
- 要完成向导,点击 完成 按钮。证书和私钥已成功导出到 PFX 文件中:
使用 IIS 导出
- 转到 开始 > 管理工具 > Internet Information Services (IIS) 管理器。
- 选择安装了证书的服务器。
- 在中间菜单中选择 '服务器证书' 选项:
- 右键单击所需的证书并选择 导出。
在 IIS 管理器中的服务器证书列表中仅显示与私钥相关联的证书。
- 指定文件名、位置、PFX 导出密码,并点击 确定:
PFX 文件已导出,可在指定位置找到。
在新服务器上进行证书导入也可以通过 Microsoft 管理控制台或 IIS 管理器来进行。
使用 MMC 导入
- 按照上述步骤将 证书(本地计算器) 管理单元添加到 MMC。
- 添加后,右键单击 个人存储 > 所有任务 > 导入:
- 证书导入向导将启动,按 下一步:
- 使用 浏览 按钮选择您要在服务器上导入的 .pfx 文件,按 下一步:
- 输入 PFX 文件密码。这是在创建 .pfx 文件时指定的。
您可以选择 将此密钥标记为可导出,以便稍后可以从此服务器导出带私钥的证书。然后点击 下一步:
- 在下一个对话窗口中选择 自动根据证书类型选择证书存储。这将允许 MMC 将 .pfx 文件中的证书放置到相应的活页夹中,如果该文件还包含中间证书。点击 下一步:
- 点击 完成。证书已导入到服务器,现在可以分配给网站:
使用 IIS 管理器导入 PFX
- 启动 Internet Information Services 管理器 (开始 > 管理工具 > Internet Information Services (IIS) 管理器),并选择证书应导入的服务器。
- 在中间菜单中双击 '服务器证书'。
- 在右侧菜单中点击 导入 按钮:
- 在您的计算器上找到 PFX 文件,并指定导出证书时使用的密码。选择性地,您可以选中 允许导出此证书。然后,点击 确定:
为网站分配证书。
一旦通过以上任一方法导入了证书,它将显示在 IIS 管理器的服务器证书列表中,并可以分配给现有网站。
您可以在这份安装指南中查看有关如何将证书绑定到网站的更多信息。