將 SSL 證書從一台 Windows 伺服器轉移到另一台伺服器是可能的,方法是從已安裝證書的一台伺服器中導出 PFX 文件,然後將其導入到另一台伺服器中。創建 PFX 文件是唯一可以將證書與相應私鑰從 Windows 伺服器轉移的方法。除了證書和私鑰之外,PFX 文件還可能包含中間證書。總之,這使 PFX 成為一個統一的受密碼保護的容器,用於在單個文件中交換證書信息(公鑰和私鑰)。
從 Windows 伺服器導出證書可以在 Microsoft 管理控制台(MMC)中完成,或在證書已安裝的情況下通過 IIS 管理員進行。
使用 MMC 導出
- 按 Win+R,輸入 mmc 並點擊 確定 打開 Microsoft 管理控制台:
- 在菜單欄中點擊 文件,然後選擇 添加/刪除管理單元:
- 在 '可用管理單元' 中選擇 證書,然後點擊 添加:
- 選擇 電腦帳戶:
- 選擇 本地計算機 來管理管理單元。
注意:要查看本地計算機存儲中的證書,您應以管理員身份登錄。
- 點擊 確定 將選定的管理單元添加到控制台窗口中:
- 前往 個人 > 證書 存儲,右鍵單擊您要導出的證書,選擇 所有任務 > 導出:
- 當證書導出嚮導打開時,點擊 下一步 進一步操作:
- 當出現提示時,選擇單選按鈕 '是,導出私鑰' 然後按 下一步:
如果 '導出私鑰' 不能點擊,則證書的私鑰不可導出或在機器上不存在,您將無法導出 PFX 文件。您需要生成一個可以導出的私鑰的新 CSR 代碼並重新發放證書以便能夠導出證書。
- 在導出文件格式對話窗口中選擇 個人信息交換 - PKCS #12 (.PFX) 作為要使用的格式。您還可以選中 如果可能包含所有中間證書 選項,將所有中間證書放入 PFX 文件中。完成後,點擊 下一步:
- 指定 PFX 文件的密碼並點擊 下一步。
這個密碼非常重要。請記住它;在新伺服器上導入 PFX 文件時,將需要這個密碼。
- 指定要導出 PFX 的文件名稱和位置。點擊 下一步:
- 要完成嚮導,點擊 完成 按鈕。證書和私鑰已成功導出到 PFX 文件中:
使用 IIS 導出
- 轉到 開始 > 管理工具 > Internet Information Services (IIS) 管理器。
- 選擇安裝了證書的伺服器。
- 在中間菜單中選擇 '伺服器證書' 選項:
- 右鍵單擊所需的證書並選擇 導出。
在 IIS 管理器中的伺服器證書列表中僅顯示與私鑰相關聯的證書。
- 指定文件名、位置、PFX 導出密碼,並點擊 確定:
PFX 文件已導出,可在指定位置找到。
在新伺服器上進行證書導入也可以通過 Microsoft 管理控制台或 IIS 管理器來進行。
使用 MMC 導入
- 按照上述步驟將 證書(本地計算機) 管理單元添加到 MMC。
- 添加後,右鍵單擊 個人存儲 > 所有任務 > 導入:
- 證書導入嚮導將啟動,按 下一步:
- 使用 瀏覽 按鈕選擇您要在伺服器上導入的 .pfx 文件,按 下一步:
- 輸入 PFX 文件密碼。這是在創建 .pfx 文件時指定的。
您可以選擇 將此密鑰標記為可導出,以便稍後可以從此伺服器導出帶私鑰的證書。然後點擊 下一步:
- 在下一個對話窗口中選擇 自動根據證書類型選擇證書存儲。這將允許 MMC 將 .pfx 文件中的證書放置到相應的文件夾中,如果該文件還包含中間證書。點擊 下一步:
- 點擊 完成。證書已導入到伺服器,現在可以分配給網站:
使用 IIS 管理器導入 PFX
- 啟動 Internet Information Services 管理器 (開始 > 管理工具 > Internet Information Services (IIS) 管理器),並選擇證書應導入的伺服器。
- 在中間菜單中雙擊 '伺服器證書'。
- 在右側菜單中點擊 導入 按鈕:
- 在您的計算機上找到 PFX 文件,並指定導出證書時使用的密碼。選擇性地,您可以選中 允許導出此證書。然後,點擊 確定:
為網站分配證書。
一旦通過以上任一方法導入了證書,它將顯示在 IIS 管理器的伺服器證書列表中,並可以分配給現有網站。
您可以在這份安裝指南中查看有關如何將證書綁定到網站的更多信息。