Win-ACME自动化证书管理：IIS站点证书部署的关键参数解析

背景概述

Win-ACME作为Windows平台下广受欢迎的自动化证书管理工具，其命令行模式为服务器管理员提供了便捷的证书申请与部署方案。在实际应用中，我们发现IIS站点证书部署存在一个容易被忽略但至关重要的参数配置问题。

核心问题分析

在Windows Server 2022（IIS 10）环境中，使用基础命令申请证书时：

wacs.exe --source iis --siteid 1 --excludebindings exclude.me --emailaddress myaddress@example.com --accepttos

虽然命令可以成功生成证书并存入证书存储区，但证书不会自动绑定到指定IIS站点。这种现象容易导致管理员误认为部署已完成，实则站点仍在使用旧证书或未启用HTTPS。

技术原理

Win-ACME的设计将证书获取（source）与安装（installation）分为两个独立阶段：

1. --source参数仅指定证书申请来源（如IIS站点配置）
2. --installation参数控制证书的部署目标

这种设计提供了灵活性，但也要求用户明确指定安装目标。对于IIS站点证书，必须显式添加--installation iis参数才能完成完整的证书部署流程。

解决方案

正确的完整部署命令应为：

wacs.exe --source iis --siteid 1 --installation iis --excludebindings exclude.me --emailaddress myaddress@example.com --accepttos

最佳实践建议

1. 双重验证机制：执行命令后，应同时检查：

   • 证书存储区（certmgr.msc）中是否存在新证书
   • IIS管理器中的站点绑定是否已更新

2. 版本适配性：该问题在Win-ACME的后续版本simple-acme中已优化，--source iis会自动包含--installation iis逻辑

3. 自动化脚本规范：建议在部署脚本中加入状态检查代码，例如通过PowerShell验证IIS绑定状态：

Get-WebBinding -Name "Default Web Site" -Protocol "https" | Select-Object -Property *

总结

理解Win-ACME各参数的实际作用范围对成功部署证书至关重要。特别是在自动化部署场景中，必须确保包含所有必要的安装参数，并通过多维度验证确保部署结果符合预期。对于从其他ACME客户端迁移过来的用户，需要特别注意Win-ACME这种源与目标分离的设计特点。