在iis上架多个虚拟主机时

前期准备

IP地址分配策略

• 独立IP方案：为每个虚拟主机绑定不同的公网IP（需运营商支持），通过服务器管理器→远程桌面服务→网络适配器配置多块网卡或同一网卡上的多个IP段，此方式隔离性最佳但成本较高。
• 端口区分法：使用默认的80/443端口，通过非标准端口号（如8080、8443）实现访问分流。http://yourdomain.com:8080，适用于内部测试环境。
• 主机头名绑定（推荐）：基于HTTP协议头的Host字段解析域名请求，所有站点共享同一IP+端口组合，需确保DNS正确指向该IP且域名已备案。

SSL证书部署规划

IIS配置步骤详解

创建网站基础结构

• 打开“Internet Information Services (IIS) Manager”，右键左侧连接栏的Sites→Add Website...
  • Site name: 自定义标识名称（如”SiteA_Prod”）
  • Physical path: 对应站点根目录路径（建议置于D盘避免系统还原影响）
  • Binding…: 点击后配置协议类型(HTTP/HTTPS)、IP地址、端口及主机名
    示例配置：:80:www.example1.com 表示所有IP上的80端口监听此主机头

应用程序池设置要点

高级功能启用清单

• [] FTP发布支持（若需文件上传能力）
• [] SMTP邮件中继（企业邮箱集成场景）
• [] FTPS/TLS加密传输强制实施
• [] URL重写模块（实现301跳转、SEO优化）
• [] IP限制规则（阻止反面爬虫扫描）

安全加固措施

请求过滤规则示例

<!-web.config片段 -->
<system.webServer>
    <security>
        <requestFiltering>
            <denyUrlSequences>
                <add sequence="~[^a-zA-Z0-9_-]"/> <!-禁止特殊字符URL编码攻击 -->
            </denyUrlSequences>
            <verbs allowUnlisted="false">
                <add verb="GET" allowed="true"/>
                <add verb="POST" allowed="true"/>
            </verbs>
        </requestFiltering>
    </security>
</system.webServer>

日志监控体系搭建

常见问题与解答

Q1: 为什么新添加的网站无法通过域名访问？
A: 请按顺序排查以下环节：
1️⃣ 确认DNS A记录已解析到服务器公网IP（使用nslookup www.yourdomain.com验证）
2️⃣ 检查IIS绑定是否正确填写了完全匹配的主机头名（区分大小写）
3️⃣ 确保防火墙入站规则放行了所需端口（默认TCP 80/443）
4️⃣ 测试浏览器缓存清除后刷新页面（Ctrl+F5强制重新请求）

Q2: 如何实现同一IP下多个HTTPS站点共存？
A: 关键步骤如下：

1. 申请包含所有相关域名的SAN型SSL证书（如.yourmaindomain.com）
2. 在IIS绑定设置中,为每个站点分别指定不同的主机头名并关联同一张证书
3. 确保中间证书链完整安装（可通过certlm.msc查看受信任根证书颁发机构）
4. 启用内核级防护功能：进入功能视图→SSL Settings→Client Certificates禁用弱加密套件

通过上述系统化部署方案,可在单台IIS服务器上高效管理多个虚拟主机，同时