Ssl сертификат для windows server

Данная инструкция описывает процедуру выпуска и установки SSL сертификатов на веб сервере IIS (Internet Information Services) в Windows Server.

Генерация CSR запроса в IIS

Для генерации SSL/TLS сертификата у внешнего Certificate Authority (CA) вам нужно сгенерировать запрос для выпуска сертификата (CSR, Certificate Signing Request). Вы можете сформировать CSR в ISS:

1. Откройте консоль Internet Information Services Manager (
   InetMgr.exe
   );
2. Выберите ваш хост Windows Server и откройте раздел Server Certificates;
3. В правом меню Actions выберите Создать запрос сертификата (Create Certificate Request);
4. Заполните следующие поля в информацию о сертификате:
   • • Common Name – укажите имя сайта (веб-сервера), по которому будут обращаться ваши клиенты. Укажите FQDN имя, например:
       reports.winitpro.ru
       . Вы можете использоватьWildcard-сертфикат, в этом случае укажите здесь
       *.winitpro.ru
     • Organization – укажите название организации. Для сертификатов с валидацией организации (OV-Organization Validation) и сертификатов с расширенной проверкой (EV-Extended Validation) нужно указать официальное название организации. Для физических лиц можно использовать SSL-сертификатов c домена (DV-Domain Validation). В этом случае указывается полное имя владельца сертификата;
     • Organizational unit – yкажите внутреннее название подразделения вашей организации, которое является ответственным за сертификат;
     • City/locality
     • State/province
     • Country/region – двухбуквенный код страны.
5. Выберите крипто провайдер и длину ключу. Рекомендуется использовать Microsoft RSA SChannel Cryptographic Provider с длиной ключа 2048 бит и более;
6. Укажите имя файла, в который нужно сохранить CSR запрос.
7. Должен сгенерироваться текстовый файл, который начинается с
   BEGIN NEW CERTIFICATE REQUEST
   и заканчивается
   END NEW CERTIFICATE REQUEST
   .

Передайте ваш CSR-файл организации, уполномоченной выпускать SSL сертификаты. Если вы используете внутренний CA на базе Microsoft, загрузите CSR файл и подпишите сертификат и скачайте файл.

Установка SSL сертификата в ISS

После того, как вы получили ваш файл (*.CER) с сертификатом SST/TLS от вашего CA, вы можете установить его в IIS.

Для этого запустите консоль IIS Manager, перейдите в раздел Certificates и выберите Complete Certificate Request.

Выберите *,crt файл с SSL сертификатом, полученным от центра сертификации. Укажите имя SSL сертификата и хранилище, в которое поместить сертификат (Personal или Web Hosting).

Картинка с сайта: winitpro.ru

Новый SSL сертификат должен появится в списке доступных сертификатов в IIS.

Привязать SSL сертификат к сайту IIS

Теперь нужно привязать ваш сертификат к сайту IIS, порту и/или IP адресу. Найдите ваш сайт в консоли IIS и выберите Edit Bindings.

Нажмите Add и заполните следующую информацию:

• Type:
  https
• IP Address: выберите
  All Unassigned
  , или выберите конкретный IP адрес, которому нужно привязать SSL сертификат (на одном порту и IP адресе веб сервера IIS можно запустить несколько сайтов)
• Port:
  443
• Hostname: укажите имя узла, для которого выпущен сертификат
• SSL Certificate: выберите из списка SSL сертификат, который вы установили

Картинка с сайта: winitpro.ru

Перезапустите сайт IIS (Manage Website -> Restart или командой
iisreset
).

Откройте ваш веб сайт IIS в браузере используя префикс
https://
. Если сертификат установлен правильно в адресной строке браузера появится зеленый замок. Это значит что подключение защищено. Нажмите на замок чтобы просмотреть информацию о вашем SSL сертификате.

Картинка с сайта: winitpro.ru

Далее нужно настроить правила, которое будет перенаправлять все HTTP запросы к сайту IIS на HTTPS.

Если вам необходимо установить сертификат на Windows Server, давайте разберёмся, как это сделать. Если вы ещё не получили сертификат, то можете ознакомиться с инструкцией «Как сгенерировать запрос на SSL-сертификат в Windows Server».

Если файлы сертификата у вас на руках, приступаем к установке.

Добавляем сертификат на сервер

Для того чтобы загрузить сертификат, перейдите в Диспетчер серверов (Пуск — Администрирование — Диспетчер серверов).

Картинка с сайта: firstvds.ru

Затем откройте Диспетчер служб IIS (Средства — Диспетчер служб IIS) и кликните на Сертификаты сервера.

Картинка с сайта: firstvds.ru

Далее способ установки зависит от того, где вы генерировали CSR:

1) Если Вы генерировали CSR на том же сервере, куда устанавливаете сертификат.

В меню Действия кликните пункт Запрос установки сертификатов.

Добавьте .crt файл, в поле имя — укажите домен сайта и нажмите ОК.

Картинка с сайта: firstvds.ru

2) Если Вы генерировали CSR через личный кабинет/самостоятельно, то предварительно экспортируйте сертификат с ключом в .pfx файл.

Чтобы добавить сгенерированный .pfx файл на сервер, в меню Действия нажимаем на кнопку Импортировать .

В открывшемся окне укажите расположение файла и пароль. Пароль задается при генерировании файла .pfx.

Картинка с сайта: firstvds.ru

Сертификат загружен. В обоих вариантах, после добавления файла, сертификат будет доступен в разделе Сертификаты сервера. Осталось настроить доменное имя.

Картинка с сайта: firstvds.ru

Подключаем SSL-сертификат на домен

Переходим в настройки сайта. В меню Подключения выберите сайт и кликните на пункт Привязки.

Картинка с сайта: firstvds.ru

В открывшемся окне нажимаем Добавить и заполняем информацию:

Тип — https

Порт — 443

Имя узла — доменное имя.

IP address — IP-адрес сайта (для сертификата следует выделять отдельный IP для каждого сайта)

В поле SSL-сертификаты указываем созданный сертификат.

Перезагружаем сайт/сервер.

Проверяем — если сертификат установлен, то сайт будет доступен по https://.

Этот материал был полезен?

Сертификат SSL (Secure Sockets Layer) является незаменимой цифровой защитой для безопасного взаимодействия в Интернете. В этой статье вы узнаете, как установить SSL-сертификат в службах IIS (IIS) в лучшем виде. Он действует по двум основным направлениям:

Шифрование данных: По сути, сертификат SSL шифрует канал связи между вашим веб-браузером и сервером. Это шифрование превращает любую информацию, которой обмениваются в Интернете, — будь то финансовые транзакции, данные для входа в систему или личные данные — в закодированное сообщение, которое невозможно расшифровать неавторизованным перехватчикам. Этот уровень безопасности имеет решающее значение для защиты вашей личной информации от киберугроз.

Проверка веб-сайтов: Сертификаты SSL также играют жизненно важную роль в проверке подлинности веб-сайтов. Они функционируют как карта цифровой проверки, выданная авторитетным центром сертификации (CA) для подтверждения того, что веб-сайт, с которым вы взаимодействуете, является законным, а не представляет собой мошенническую схему, предназначенную для того, чтобы обмануть вас. Эта проверка помогает предотвратить кражу личных данных и другие формы кибермошенничества.

Укрепление доверия: Веб-сайт, оснащенный сертификатом SSL, часто будет отмечен визуальными индикаторами, такими как значок замка или зеленая адресная строка в вашем веб-браузере. Эти символы служат гарантией безопасности вашего соединения и позволяют безопасно вводить конфиденциальную информацию. Они играют ключевую роль в формировании чувства безопасности и надежности среди пользователей.

Создание CSR с помощью IIS 10 на Windows Server

Для начала перейдите в меню «Пуск» Windows и введите «Диспетчер служб IIS» в строке поиска, затем запустите приложение.

В диспетчере служб IIS посмотрите на дерево меню «Подключения» в левой части экрана. Здесь вам нужно будет найти и выбрать имя вашего сервера.

Как только вы окажетесь на домашней странице с именем вашего сервера (находится на центральной панели), перейдите в сегмент IIS и дважды щелкните «Сертификаты сервера«.

Затем на экране «Сертификаты сервера» (все еще на центральной панели) обратите внимание на меню «Действия», расположенное справа. Здесь вам нужно выбрать опцию «Создать запрос сертификата…».

На экране «Свойства отличительного имени» мастера запроса сертификата вам будет предложено ввести различные сведения. Вот что вам нужно будет предоставить, прежде чем нажать «Следующий»:

– Общее имя: введите полное доменное имя, которое вы защищаете с помощью этого сертификата, например: «www.вашсайт.com».

– Организация: введите официальное зарегистрированное название вашей компании, например ООО «МойБизнес».

– Организационное подразделение: укажите свой отдел внутри компании. Общие варианты включают в себя «ИТ», «Веб-безопасность», или вы можете оставить его пустым.

– Город/местоположение: введите город, в котором официально находится ваша компания.

– Штат/Провинция: укажите штат или провинцию, в которой зарегистрирован ваш бизнес.

– Страна: в раскрывающемся меню выберите страну, в которой юридически зарегистрирован ваш бизнес.

Когда вы перейдете на страницу свойств поставщика криптографических услуг, следуйте этим инструкциям:

– Поставщик криптографических услуг: в раскрывающемся меню выберите «Поставщик криптографии Microsoft RSA SChannel», если только вам не обязательно использовать другого поставщика криптографических услуг.

– Длина в битах: используйте раскрывающееся меню, чтобы выбрать длину в битах 2048. Вы можете выбрать большую длину в битах, если у вас есть в этом особая необходимость, но в большинстве случаев обычно рекомендуется 2048.

После заполнения этих данных нажмите кнопку «Следующий.»

На шаге «Имя файла» вы увидите раздел с просьбой «Укажите имя файла для запроса сертификата». Нажмите кнопку «…», чтобы открыть окно, в котором вы можете перейти к папке, в которой вы хотите сохранить свой CSR.

Важно! Обязательно запишите назначенное вами имя файла и конкретную папку, в которой вы сохраняете файл csr.txt. Если вы введете имя файла, не выбрав место для сохранения, ваш CSR будет автоматически сохранен в C:\Windows\System32 directory.

После выполнения предыдущих шагов нажмите кнопку «Финиш» .

Затем откройте файл с помощью простого текстового редактора, например Блокнота. Обязательно скопируйте весь текст, начиная с Строка «——НАЧАТЬ НОВЫЙ ЗАПРОС СЕРТИФИКАТА——» и заканчивается строкой «——КОНЕЦ НОВОГО ЗАПРОСА СЕРТИФИКАТА——» линия. Весь этот блок текста вам нужно будет вставить в форму заказа на веб-сайте DigiCert.

Настройка SSL-сертификата в IIS 10 с Windows Server 2016

Прежде чем двигаться дальше, убедитесь, что вы создали CSR и подготовили SSL-сертификат, следуя руководству. «IIS 10: как создать CSR на Windows Server 2016».

После того как ваш SSL-сертификат проверен и выдан, пришло время установить его на Windows Server 2016, где вы изначально сгенерировали CSR. Этот процесс включает не только установку, но и настройку вашего сервера для использования нового сертификата.

Для одного сертификата: шаги по установке и активации SSL-сертификата

Для нескольких сертификатов: использование SNI для установки и настройки сертификата SSL

Установка и настройка единого SSL-сертификата:

– Найдите файл .cer (например, your_domain_com.cer), полученный вами от DigiCert, и сохраните его на сервере, где был создан CSR.

– Откройте меню «Пуск» Windows, найдите «Диспетчер служб IIS» и откройте его.

– В диспетчере служб IIS воспользуйтесь меню «Подключения» слева, чтобы найти и

выберите имя вашего сервера.

После выбора имени вашего сервера в диспетчере IIS перейдите к разделу IIS, расположенному на главной панели управления сервером (центральная панель), а затем дважды коснитесь «Сертификаты сервера».

Далее в рамках «Серверные сертификаты» окно (снова на центральной панели), посмотрите на «Действия» меню расположено справа. Здесь вы найдете и должны нажать на «Завершить запрос сертификата…» опцию.

На последнем этапе установки SSL-сертификата, в «Полный запрос сертификата» волшебник, вы прибудете в «Укажите ответ центра сертификации» раздел. Вот что делать дальше:

– Поиск файла сертификата: нажмите кнопку «…», чтобы открыть браузер файлов. Перейдите и выберите файл .cer (например, your_domain_com.cer), который вы получили от DigiCert.

– Назначение понятного имени: введите описательное имя для вашего сертификата. Это имя не включено в сам сертификат, но используется для упрощения идентификации в вашей системе. Рекомендуется включать «ДиджиСерт» вместе с датой истечения срока действия сертификата на это имя (например, дата окончания срока действия вашего сайта-digicert). Эта стратегия помогает быстро определить эмитента сертификата и срок его действия, особенно при управлении несколькими сертификатами для одного и того же домена.

– Выбор хранилища сертификатов: из доступных вариантов в раскрывающемся меню выберите «Веб хостинг» в качестве места для хранения вновь установленного сертификата.

После выполнения этих шагов нажмите кнопку «ОК» для завершения процесса установки сертификата.

Откройте Диспетчер информационных служб Интернета (IIS) и просмотрите меню «Подключения» слева. Начните с расширения имени сервера, на котором установлен ваш SSL-сертификат.

Далее разверните «Места» раздел и выберите конкретный сайт, который вы хотите защитить с помощью недавно установленного сертификата SSL.

Перейдя на главную страницу выбранного веб-сайта, обратите свое внимание на меню «Действия», расположенное с правой стороны. Здесь, в разделе «Редактировать сайт», вам нужно выбрать опцию «Привязки…».

После входа в диалоговое окно «Привязки сайта» нажмите «Добавить», чтобы начать процесс.

В «Добавить привязки сайта» интерфейс, вам нужно будет настроить несколько настроек перед завершением:

Тип: в раскрывающемся меню выберите «HTTPS» чтобы обеспечить безопасную связь вашего сайта.

IP-адрес: выберите конкретный IP-адрес вашего сайта, если он есть. Альтернативно, вы можете выбрать «Все неназначенные» если у сайта нет выделенного IP-адреса.

Порт: Войти «443» в этом поле. Это стандартный порт, используемый для безопасной связи через SSL.

Сертификат SSL: найдите и выберите только что установленный сертификат SSL, идентифицированный по имени вашего домена (например, yourdomain.com).

После установки этих параметров нажмите кнопку «ОК» для внесения изменений.

Ваш сертификат SSL теперь установлен, и веб-сайт настроен для приема безопасных соединений.

Процесс разделен на этапы, чтобы разобрать каждый этап отдельно.

Добавление сертификата на сервер

Чтобы вы смогли произвести установку сертификата на ваш сервер, перейдите в «Диспетчер серверов». Цепочка кнопок: Пуск — Администрирование — Диспетчер Серверов.

Картинка с сайта: cloud.obit.ru

После как вы перешли в данное меню, найдите «Диспетчер служб IIS». В подменю выберите «Сертификаты сервера».

Картинка с сайта: cloud.obit.ru

Ваши дальнейшие действия зависят от места, где был сгенерирован CSR.

Способ генерации CSR: самостоятельно с помощью личного кабинета

Если у вас уже есть ключ в вашем личном кабинете, то совершите экспорт этого ключа в формате .pfx файла. Для импорта ключа на сервер, найдите пункт «Действия» в меню, после выберите «Импортировать».

Картинка с сайта: cloud.obit.ru

По прохождению данного этапа система оповестит вас о том, что сертификат стал доступным. Посмотреть подробную информацию можно в меню «Сертификаты сервера».

Картинка с сайта: cloud.obit.ru

Подключение SSL-сертификата на домен

Перейдите в меню настройки конфигурации сайта. Найдите пункт «Подключения», выберите нужный сайт и нажмите на кнопку «Привязки».

Картинка с сайта: cloud.obit.ru

В новом окне введите данные (кнопка «Добавить»). Образец следующий:

• ТИП — https 
• ПОРТ — 443
• Имя узла — имя домена 
• IP — IP сайта 

После заполнения всех полей, нажмите «ОК». Перезагрузите сервер. Чтобы проверить успешность установки сертификата на веб-ресурс, достаточно взглянуть на URL. Если сайт стал доступен по https — установка прошла успешно.

Windows ACME Simple — утилита, с которой установка SSL-сертификата на сайт пройдёт легко и просто. Рассказываем, как получить бесплатный SSL-сертификат Let’s Encrypt и подключить его к сайту на IIS-сервере с помощью WACS.

Знак закрытого замка́ в адресной строке сайта означает, что соединение между компьютером пользователя и сервером с сайтом защищено шифрованием. На наличие «правильного» знака замка́ обращают внимание, пожалуй, почти все посетители — хотя бы потому, что современные браузеры не любят незащищённые соединения: многие из них отказываются переходить по ссылкам, которые начинаются с http:// и выводят сообщение о потенциальной опасности. Чтобы обмен данными шёл по защищённому протоколу HTTPS, на сайт устанавливают специальные SSL-сертификаты, которые гарантируют, что передаваемые данные зашифрованы, а злоумышленники, даже перехватив их, не смогут их прочитать.

В статье рассказываем, как установить сертификат Let’s Encrypt на веб-сайт, расположенный на IIS-сервере с установленной ОС Windows Server 2016/2012 R2.

Чтобы выдать сертификат Let’s Encrypt, удостоверяющая организация должна убедиться, что вы владеете доменом, для чего она отправит запрос, который должен быть правильно обработан. На системах под управлением Linux для этого нужна сложная настройка сервера, но на Windows всё довольно просто: пользователю не нужно ничего настраивать, специальная утилита сделает это в автоматическом режиме.

Подготовка к установке

Перед установкой нужно остановить все службы TrueConf Server. Также убедитесь, что порты 80 и 443 открыты и свободны. Если понадобится, нужно остановить процессы, которые могут их занимать (например, Apache HTTP Server).

Настройка Windows

IIS должен отвечать на запросы, адресованные по доменному имени, на которое будет выпущен сертификат. Поэтому нужно связать домен с сайтом, размещённым на веб-сервере.

1. Зайдите в панель управления IIS и выберите нужный сайт из списка:

1. В области справа выберите «Привязки…»:

1. Затем измените привязку существующей записи или добавьте новую:

Картинка с сайта: adminvps.ru

1. Сохраните изменения и выйдите из панели управления IIS.

Устанавливаем Windows ACME Simple

Подготовка

Устанавливать Let’s Encrypt мы будем с помощью программы Windows ACME Simple (WACS). WACS отвечает за выпуск сертификата и привязывает его к веб-ресурсу с минимальным участием пользователя.

1. Скачать программу можно из репозитория GitHub.
2. Выберите версию в соответствии с разрядностью вашей ОС.

Картинка с сайта: adminvps.ru

1. Извлеките содержимое архива в любую директорию.

Установка Windows ACME и получение сертификата

1. Запустите командную строку из-под пользователя с рут, зайдите в распакованную папку и запустите wacs.exe. По умолчанию программа запросит выпуск сертификата в der-формате, но если вы хотите получить его формате .pem, то используйте дополнительные команды, введите в командной строке:

wacs.exe --store pemfiles --путь_к_целевому_каталогу C:\Certificates

Где путь_к_целевому_каталогу — это путь к папке, куда утилита загрузит полученный pem-файл.

1. Откроется окно, где WACS предложит выбрать действие. В разных версиях утилиты описания действий могут отличаться, но в целом понятно, что нужно выбирать, в любом варианте:

Картинка с сайта: adminvps.ru

Картинка с сайта: adminvps.ru

Чтобы создать новый сертификат Let’s Encrypt, вводите символ N.

1. Затем выберите среди перечисленных сайт, который привязан к нужному доменному имени и отвечает на связанные с ним запросы. На этом этапе доступен мультивыбор: номера вводятся через запятую. В примере сайт только один, поэтому мы вводим «1». Нажмите «Ввод».

Картинка с сайта: adminvps.ru

1. Далее выберем привязки. Если у сайта их несколько, то вводим «3»:

Внимательно читайте сообщения утилиты, в некоторых её версиях на этом этапе для выбора всех привязок нужно ввести А.

1. Укажите электронный почтовый адрес для получения оповещений, прочтите «Соглашение пользователя», затем подтвердите корректность введённых данных.
2. WACS сама настроит сервер, инициирует проверку и выдачу сертификата. Также программа добавит в «Планировщик Windows» повторяющуюся задачу на его перевыпуск.
3. Для завершения введите Q.

Ещё один способ выпустить сертификат — приобрести платный или бесплатный SSL-сертификат у AdminVPS на странице продукта.

Проверьте, что сертификат установлен правильно

• После подключения Let’s Encrypt ресурс будет доступен по защищённому соединению HyperText Transfer Protocol Secure. Для проверки перейдите на ваш ресурс: введите в адресной строке имя сайта, начиная с https://.
• Кроме того, удостовериться, что сертификат установлен, можно в панели управления IIS в модуле «Привязки сайта». Зайдите в него, кликните по https-сайту (с указанным портом 443), затем по «Изменить». Выберите «Просмотреть» напротив поля с названием SSL-сертификата.

Картинка с сайта: adminvps.ru

• Также проверьте, создано ли задание на обновление в «Планировщике задач» (Task Scheduler). Это задание нужно, чтобы перевыпуск сертификата проходил автоматически. По умолчанию оно назначается на 9:00 ежедневно и будет запускать процесс апдейта командой, которая имеет вид:

C:\директория\wacs.exe --renew --baseuri "https://acme-v02.api.letsencrypt.org/"

Если вы собираетесь обновлять сертификат вручную, то укажите актуальный путь к wacs.exe.

Переводим веб-ресурс с HTTP на HTTPS

Сертификат установлен и сайт открывается по HTTPS через 443-й порт, теперь нужно запретить соединение по HTTP и направить поток данных по защищённому HTTPS. В этом нам поможет утилита URL Rewrite. Скачайте модуль с официального сайта разработчиков IIS.

Когда установка завершится, в панели управления веб-сервером вы увидите раздел URL Rewrite, в котором можно создать правило, перенаправляющее трафик.

Картинка с сайта: adminvps.ru

Зайдите в него, пройдите по пути Actions → Add Rule(s) → Blank rule:

• в поле Name задайте название правила.
• в поле Requested URL установите Matches the Pattern из выпадающего списка.
• в поле Pattern установите шаблон «.*».

Картинка с сайта: adminvps.ru

Раскройте блок Conditions и в поле Logical Grouping установите значение Match All и кликните по Add («Добавить»).

Затем в открывшемся окне Add Condition:

• в поле Condition input вставьте значение {HTTPS},
• в поле Check if input string — Matches the Pattern,
• значение в поле Pattern — ^OFF$.

Для сохранения настроек нажмите ОК.

Разверните блок Action:

• в поле Action type выберите Redirect,
• в блоке Action properties в поле Redirect URL укажите https://{HTTP_HOST}/{R:1},
• в Redirect type — значение Permanent (301).

Затем нажмите Apply в верхней части панели управления IIS для сохранения настроек.

Картинка с сайта: adminvps.ru

Для проверки перейдите на сайт, указав в его адресе http://. Если настройки применились корректно, вы будете перенаправлены на HTTPS-версию сайта.

Теперь вы знаете, как установить бесплатный SSL-сертификат Let’s Encrypt на IIS с Windows Server.

Читайте в блоге:

• Как выпустить SSL-сертификат для сайта
• Как включить протокол SSL на сайте
• Как посмотреть SSL-сертификат на сайте и проверить его подлинность