ssl证书绑定windows服务器端口及SSL配置命令详解

第一部分多层应用服务器中SSL的服务器配置

一、首先，你的服务器的防火墙或云服务器的安全配置要哦放通下面你想配置的端口
我配置的端口为：
http: 8085
https: 8086
二、其次：你申请了SSL证书（可到腾讯云或阿里云申请单域名的免费版）
三、在服务器安装SSL证书

四、配置绑定SSL端口映射
1、查看当前SSL端口配置:
netsh
http show sslcert

2、绑定当前SSL到指定端口:
netsh

http add sslcert ipport=0.0.0.0:8086 certhash=7bdb08e169609fcc5b5a7417be4fd72411de59fa appid={D1F0A245-9DB2-4C8E-BD85-39F13BCE3C27} certstorename=MY

netsh>http add sslcert ipport=0.0.0.0:8086 certhash=7bdb08e169609fcc5b5a7417be4f
d72411de59fa appid={D1F0A245-9DB2-4C8E-BD85-39F13BCE3C27}

成功添加 SSL 证书

netsh>http show sslcert

3、结果如下：
netsh
http show sslcert

Microsoft Windows [版本 6.1.7601]
版权所有 (c) 2009 Microsoft Corporation。保留所有权利。

C:\Users\Administrator>netsh
netsh>http show sslcert

SSL 证书绑定:
-------------------------

IP:端口 : 0.0.0.0:443
证书哈希 : 7bdb08e169609fcc5b5a7417be4fd72411de59fa
应用程序 ID : {4dc3e181-e14b-4a21-b022-59fc669b0914}
证书存储名称 : MY
验证客户端证书吊销 : Enabled
仅使用缓存客户端证书验证吊销 : Disabled
用法检查 : Enabled
吊销更新时间: 0
URL 检索超时 : 0
Ctl 标识符 : (null)
Ctl 存储名称 : (null)
DS 映射器用法 : Disabled
协商客户端证书 : Disabled

IP:端口 : 0.0.0.0:8086
证书哈希 : 7bdb08e169609fcc5b5a7417be4fd72411de59fa
应用程序 ID : {d1f0a245-9db2-4c8e-bd85-39f13bce3c27}
证书存储名称 : (null)
验证客户端证书吊销 : Enabled
仅使用缓存客户端证书验证吊销 : Disabled
用法检查 : Enabled
吊销更新时间: 0
URL 检索超时 : 0
Ctl 标识符 : (null)
Ctl 存储名称 : (null)
DS 映射器用法 : Disabled
协商客户端证书 : Disabled

IP:端口 : 0.0.0.0:8172
证书哈希 : b33bc6a56279fcfa80178290e592697e8f670f9c
应用程序 ID : {00000000-0000-0000-0000-000000000000}
证书存储名称 : MY
验证客户端证书吊销 : Enabled
仅使用缓存客户端证书验证吊销 : Disabled
用法检查 : Enabled
吊销更新时间: 0
URL 检索超时 : 0
Ctl 标识符 : (null)
Ctl 存储名称 : (null)
DS 映射器用法 : Disabled
协商客户端证书 : Disabled

netsh>

4、删除当前SSL 证书绑定的端口号：
Netsh
http delete sslcert ipport=0.0.0.0:8086

5、案例：
add sslcert ipport=0.0.0.0:8086 certhash=7bdb08e169609fcc5b5a7417be4fd72411de59fa appid={D1F0A245-9DB2-4C8E-BD85-39F13BCE3C27} certstorename=MY
add sslcert ipport=1.1.1.1:8086 certhash=7bdb08e169609fcc5b5a7417be4fd72411de59fa appid={D1F0A245-9DB2-4C8E-BD85-39F13BCE3C27} certstorename=MY

netsh http>http show sslcert

6、设置URL保留项：
netsh
netsh>
http add urlacl url=http://www.cpuofbs.com:8085/GYAPI/rest/ user=Everyone
http add urlacl url=https://www.cpuofbs.com:8086/GYAPI/rest/ user=Everyone

http add urlacl url=http://www.cpuofbs.com:8085/GYAPI/ user=Everyone
http add urlacl url=https://www.cpuofbs.com:8086/GYAPI/ user=Everyone

7、测试你配置对了没有：
https://www.cpuofbs.com:8086/GYAPI/rest/
https://www.cpuofbs.com:8086/GYAPI/getservernowtime

第二部分 SSL配置命令详解

Microsoft Windows [版本 10.0.18362.387]
(c) 2019 Microsoft Corporation。保留所有权利。

C:\Users\Administrator>netsh
netsh>http show sslcert

SSL 证书绑定:
-------------------------

netsh>http /?
下列指令有效:

此上下文中的命令:
? - 显示命令列表。
add - 在一个表格中添加一个配置项。
delete - 从一个表格中删除一个配置项。
dump - 显示一个配置脚本。
flush - 刷新内部数据。
help - 显示命令列表。
show - 显示信息。
update - 将配置条目更新到表中。

若需要命令的更多帮助信息，请键入命令，接着是空格，
后面跟 ?。

netsh>http
netsh http>add /?

下列指令有效:

命令从 netsh 上下文继承:
add helper - 安装一个帮助者 DLL。

此上下文中的命令:
add cacheparam - 添加 HTTP 服务缓存参数
add iplisten - 将 IP 地址添加到 IP 侦听列表。
add setting - 向服务添加全局设置。
add sslcert - 添加 SSL 服务器证书绑定。-------------------------------------------
add timeout - 向服务中添加全局超时。
add urlacl - 添加 URL 保留项。
netsh http>add ？

用法: add sslcert hostnameport=<name:port> | ipport=<ipaddr:port> | ccs=<port>
appid=<GUID>
[certhash=<string>]
[certstorename=<string>]
[verifyclientcertrevocation=enable|disable]
[verifyrevocationwithcachedclientcertonly=enable|disable]
[usagecheck=enable|disable]
[revocationfreshnesstime=<u-int>]
[urlretrievaltimeout=<u-int>]
[sslctlidentifier=<string>]
[sslctlstorename=<string>]
[dsmapperusage=enable|disable]
[clientcertnegotiation=enable|disable]
[reject=enable|disable]
[disablehttp2=enable|disable]
[disablequic=enable|disable]
[disablelegacytls=enable|disable]
[disabletls12=enable|disable]
[disabletls13=enable|disable]
[disableocspstapling=enable|disable]
[enabletokenbinding=enable|disable]
[logextendedevents=enable|disable]
[enablesessionticket=enable|disable]

参数:
标记: 值
ipport: 绑定的 IP 地址和端口。
hostnameport: 绑定的 Unicode 主机名和端口。
ccs: 中央证书存储绑定。
certhash: 证书的 SHA 哈希。此哈希长度为 20 个字节并指定为十六进制字符串。
appid: 用于标识主应用程序的 GUID。
certstorename: 证书的存储名称。对于基于主机名的配置，此名称是必需的。对于基于 IP 的配置，
默认值为 MY。证书必须存储在本地计算机上下文中。
verifyclientcertrevocation: 打开/关闭客户端证书的吊销验证。
verifyrevocationwithcachedclientcertonly: 打开/关闭仅用于吊销
检查的缓存客户端证书的用法。
usagecheck: 打开/关闭用法检查。默认值为 enabled。
revocationfreshnesstime: 检查更新的证书吊销列表(CRL)的时间间隔。如果此
值为 0，则仅当前一个 CRL 过期时才更新新的 CRL (以秒为单位)。
urlretrievaltimeout: 尝试检索远程 URL 的证书吊销列表时超时(以
毫秒为单位)。
sslctlidentifier: 列出可以信任的证书颁发者。此列表可以是
计算机信任的证书颁发者的子集。
sslctlstorename: 在存储 SslCtlIdentifier 的 LOCAL_MACHINE 下的存储名称。
dsmapperusage: 打开/关闭 DS 映射器。默认值为 disabled。
clientcertnegotiation: 打开/关闭证书协商。默认值为 disabled。
reject: 当启用时，将立即断开任何新的匹配连接。
disablehttp2: 当设置时，将立即为新的匹配连接禁用 HTTP2。
disablequic: 当设置时，将立即为新的匹配连接禁用 QUIC。
disablelegacytls: 当设置时，将禁用传统版本的 TLS。
disabletls12: 当设置时，将立即为新的匹配连接禁用 TLS1.2。
disabletls13: 当设置时，将立即为新的匹配连接禁用 TLS1.3。
disableocspstapling: 当设置时，将立即为新的匹配连接禁用 OCSP 装订。
enabletokenbinding: 当设置时，将立即为新的连接启用令牌绑定。
logextendedevents: 当设置时，将日志记录用于调试的其他事件。
enablesessionticket: 当设置时，将启用 TLS 会话恢复。

备注: 添加 IP 地址
或主机名和端口的 SSL 服务器证书绑定和相应的客户端证书策略。

示例:

add sslcert ipport=1.1.1.1:443 certhash=0102030405060708090A appid={00112233-4455-6677-8899-AABBCCDDEEFF}
add sslcert hostnameport=www.contoso.com:443 certhash=0102030405060708090A appid={00112233-4455-6677-8899-AABBCCDDEEFF} certstorename=MY
add sslcert scopedccs=www.contoso.com:443 appid={00112233-4455-6677-8899-AABBCCDDEEFF}
add sslcert ccs=443 appid={00112233-4455-6677-8899-AABBCCDDEEFF}

netsh http>

2008 r2是基于win7核心，一般来说用起来比较上手，就是https默认不支持多域名https，就是一台机器只能绑定一个域名，所以推荐大家升级2016，但不建议普通用户使用，自从2008 r2以后真的不太容易使用。

一句话推荐大家使用2016作为服务器系统，推荐cpu两个，内存64G以上。

第四部分本博客关联知识

delphi XE基于SSL的HTTPS服务器应用程序的认证文件：

(Certificate.cer、CACertificate1.cer、PrivateKey.key及OnGetPassword)的配置：

https://blog.csdn.net/pulledup/article/details/105408763

证书格式转换工具-亚洲诚信

https://myssl.com/cert_convert.html

喜欢的话，就在下面点个赞、收藏就好了，方便看下次的分享：