Windows IIS 环境下使用 Win‑ACME（对接 Let’s Encrypt）申请免费 SSL 证书，支持一键申请、自动续期，全程向导式操作。

环境要求

•       Windows Server 2016/2019/2022 或 Windows 10/11（已安装 IIS）

•       域名已解析至服务器公网 IP

•       80 端口可外网访问（HTTP 验证必需，放开防火墙 / 安全组）

•       IIS 已绑定 http://你的域名:80，且 HTTP 可正常访问

一、下载并解压 Win‑ACME

1.        官网下载：https://www.win-acme.com/下载 x64 版本 zip（写着 win-acme.vX.X.X.x64.zip）

2026.05.06 稳定版直链（x64）：
https://github.com/win-acme/win-acme/releases/download/v2.2.9.1701/win-acme.v2.2.9.1701.x64.pluggable.zip

2.        下载后解压到固定路径（建议：d:\Win-ACME，勿放桌面 / 下载文件夹）

二、管理员运行并一键申请证书

1.        进入解压目录 D:\Win-ACME，右键以管理员身份运行 wacs.exe（必需管理员权限）

2.        首次启动按 y 同意协议，进入主界面

3.        按 N 回车 → 选择 Create new certificate（创建新证书）

4.        选 1 回车 → IIS site(s)（自动读取 IIS 站点），输入站点编号回车

5.        选 1 回车 → HTTP‑01 (IIS)（自动完成域名验证）

6.        输入常用邮箱（接收过期 / 异常通知），回车

7.        等待 1–3 分钟，工具自动完成：

￮           生成验证文件并完成域名所有权验证

￮           签发证书并导入系统证书库

￮           自动为 IIS 绑定 HTTPS（443 端口）

￮           自动创建自动续期计划任务

8.        出现Success即申请完成

三、检查 IIS HTTPS 绑定

1.        打开 IIS 管理器 → 选中站点 → 点击右侧「绑定」

2.        确认存在 https 443 条目，且证书为本次申请的证书

3.        浏览器访问 https://你的域名，地址栏显示安全小锁即为正常

四、自动续期（默认已配置，无需干预）

•       默认每天检查证书状态

•       到期前 30 天自动续期

•       续期后自动更新 IIS 绑定，无需重启服务

手动测试续期（可选）

管理员运行 wacs.exe → 选 R 回车 → Renew certificates（立即测试续期）

五、通配符证书（可选，*.xxx.com）

1.        申请时验证方式选择 DNS‑01

2.        按提示在域名服务商后台添加指定 TXT 记录

3.        记录生效后回车继续，后续流程同上

六、常见问题

1.        80 端口不通：检查服务器防火墙、云服务商安全组，放行 80 端口

2.        IIS 未绑定 80 端口：先配置 http://域名:80 并可正常访问

3.        权限异常：务必以管理员身份运行 wacs.exe

4.        域名解析错误：确认域名 A 记录指向服务器公网 IP

总结

配置 IIS 80 端口 → 下载解压 Win‑ACME → 管理员运行 → 向导一键申请证书 → 自动绑定 HTTPS + 自动续期。