vps部署ssl，让域名可以https访问的最简单的办法 ssl无法ie访问 https在ie访问报错的处理办法

1.下载“网站管理助手”，下载地址：iistool.west263.cn/iistool_v4.…

这是西部数码开发的一个网站管理软件，可以通过它部署环境和建立站点，不过我们用的是他们ssl部署功能。

2.下载好了后解压并运行软件。点击里面的“域名ssl管理”-“管理Nginx”，第一次运行的话需要装Nginx

3.安装好了后可以上传ssl域名证书了。关于域名证书可以申请免费的TrustAsia，如果不会申请的话建议直接到西数花1块钱一年购买ssl好了，用起来也简单的。西数注册链接：选云主机，我推荐西部数码

4.然后虚机中iis建立网站好了，就已经支持https访问了。

这个方式好处在几步操作就好，不用手工进行复杂的设置，最重要的是一台vps可以支持很多个域名https访问，非常方便。

不过通过这个方式建立的有个问题，就是在ie访问的时候会发现打开不了，例如：

这个问题经过西数的技术调查发现是“加密套件”的问题。如果要支持ie访问需要改一个地方。方法如下：

1.打开：D:\Nginx\conf\vhost，这时会发现有若干conf文件，命名都与你的域名相关，这些都是你上传ssl后程序自动建立的，具体与Nginx什么关系我也不清楚。

2.打开你要在ie可以访问的域名对应的conf文件。然后修改里面的部分内容：

修改前：

ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;

ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;

修改后：

ssl_ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS;

ssl_ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS;

貌似就是ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256和ssl_ciphers ECDHE-ECDSA-CHACHA20-POLY1305的区别。

修改后就可以在IE正常访问了。不过需要告诉你的是经过这样的修改会导致ssl评级下降，本来是A级的，然后会变成B级，不过没关系，访问你网站的人有谁会去查ssl评级呢？很多人可能连https都不懂甚至都不会注意到。要让ie可以兼容访问不可避免的就会要牺牲点东西，好在这些东西无所谓。来欣赏下淘宝和百度的评级。baidu.com - SSL/TLS安全评估报告

就连Google不过评级是A，而且下面也标记为不合规，所以无所谓的了，只要能显示为https访问，并且各个浏览器都能访问就好了。