Данная инструкция описывает процедуру выпуска и установки SSL сертификатов на веб сервере IIS (Internet Information Services) в Windows Server.
Содержание:
- Генерация CSR запроса в IIS
- Установка SSL сертификата в ISS
- Привязать SSL сертификат к сайту IIS
Генерация CSR запроса в IIS
Для генерации SSL/TLS сертификата у внешнего Certificate Authority (CA) вам нужно сгенерировать запрос для выпуска сертификата (CSR, Certificate Signing Request). Вы можете сформировать CSR в ISS:
- Откройте консоль Internet Information Services Manager (
InetMgr.exe
); - Выберите ваш хост Windows Server и откройте раздел Server Certificates;
- В правом меню Actions выберите Создать запрос сертификата (Create Certificate Request);
- Заполните следующие поля в информацию о сертификате:
-
- Common Name – укажите имя сайта (веб-сервера), по которому будут обращаться ваши клиенты. Укажите FQDN имя, например:
reports.winitpro.ru
. Вы можете использоватьWildcard-сертфикат, в этом случае укажите здесь
*.winitpro.ru - Organization – укажите название организации. Для сертификатов с валидацией организации (OV-Organization Validation) и сертификатов с расширенной проверкой (EV-Extended Validation) нужно указать официальное название организации. Для физических лиц можно использовать SSL-сертификатов c домена (DV-Domain Validation). В этом случае указывается полное имя владельца сертификата;
- Organizational unit – yкажите внутреннее название подразделения вашей организации, которое является ответственным за сертификат;
- City/locality
- State/province
- Country/region – двухбуквенный код страны.
- Common Name – укажите имя сайта (веб-сервера), по которому будут обращаться ваши клиенты. Укажите FQDN имя, например:
-
- Выберите крипто провайдер и длину ключу. Рекомендуется использовать Microsoft RSA SChannel Cryptographic Provider с длиной ключа 2048 бит и более;
- Укажите имя файла, в который нужно сохранить CSR запрос.
- Должен сгенерироваться текстовый файл, который начинается с
BEGIN NEW CERTIFICATE REQUEST
и заканчивается
END NEW CERTIFICATE REQUEST
.
Передайте ваш CSR-файл организации, уполномоченной выпускать SSL сертификаты. Если вы используете внутренний CA на базе Microsoft, загрузите CSR файл и подпишите сертификат и скачайте файл.
Установка SSL сертификата в ISS
После того, как вы получили ваш файл (*.CER) с сертификатом SST/TLS от вашего CA, вы можете установить его в IIS.
Для этого запустите консоль IIS Manager, перейдите в раздел Certificates и выберите Complete Certificate Request.
В статье описывается установка *.CER сертификатов в формате DER/base64 сертификаты X.509 от Microsoft. Если вы получили от своего CA сертификат в формате *.CRT, его не получится импортировать и установить в IIS. Вам нужно сконвертировать CRT сертификат в формат PFX. Проще всего это сделать с помощью утилиты openssl в любом дистрибутиве Linux. Вам понадобится файл сертификата (*.crt) и закрытый ключ (*.key). Для их конвертации, выполните команду:
$ openssl pkcs12 -export -out target.pfx -inkey source.key -in source.crt
Такой PFX сертификат можно импортировать через меню Import.
Также вы можете конвертировать CRT сертификат прямо из Windows:
- Дважды щелкните по вашем CRT файлу;
- Перелижите на вкладку Details и нажмите Copy to File;
- Выберите формат Base-64 encoded X.509(.CER);
- Укажите путь, куда нужно поместить CER файл сертификата.
Выберите *,crt файл с SSL сертификатом, полученным от центра сертификации. Укажите имя SSL сертификата и хранилище, в которое поместить сертификат (Personal или Web Hosting).
Новый SSL сертификат должен появится в списке доступных сертификатов в IIS.
Привязать SSL сертификат к сайту IIS
Теперь нужно привязать ваш сертификат к сайту IIS, порту и/или IP адресу. Найдите ваш сайт в консоли IIS и выберите Edit Bindings.
Нажмите Add и заполните следующую информацию:
- Type:
https - IP Address: выберите
All Unassigned
, или выберите конкретный IP адрес, которому нужно привязать SSL сертификат (на одном порту и IP адресе веб сервера IIS можно запустить несколько сайтов) - Port:
443 - Hostname: укажите имя узла, для которого выпущен сертификат
- SSL Certificate: выберите из списка SSL сертификат, который вы установили
Перезапустите сайт IIS (Manage Website -> Restart или командой
iisreset
).
Откройте ваш веб сайт IIS в браузере используя префикс
https://
. Если сертификат установлен правильно в адресной строке браузера появится зеленый замок. Это значит что подключение защищено. Нажмите на замок чтобы просмотреть информацию о вашем SSL сертификате.
Далее нужно настроить правила, которое будет перенаправлять все HTTP запросы к сайту IIS на HTTPS.
Сертификат SSL (Secure Sockets Layer) является незаменимой цифровой защитой для безопасного взаимодействия в Интернете. В этой статье вы узнаете, как установить SSL-сертификат в службах IIS (IIS) в лучшем виде. Он действует по двум основным направлениям:
Шифрование данных: По сути, сертификат SSL шифрует канал связи между вашим веб-браузером и сервером. Это шифрование превращает любую информацию, которой обмениваются в Интернете, — будь то финансовые транзакции, данные для входа в систему или личные данные — в закодированное сообщение, которое невозможно расшифровать неавторизованным перехватчикам. Этот уровень безопасности имеет решающее значение для защиты вашей личной информации от киберугроз.
Проверка веб-сайтов: Сертификаты SSL также играют жизненно важную роль в проверке подлинности веб-сайтов. Они функционируют как карта цифровой проверки, выданная авторитетным центром сертификации (CA) для подтверждения того, что веб-сайт, с которым вы взаимодействуете, является законным, а не представляет собой мошенническую схему, предназначенную для того, чтобы обмануть вас. Эта проверка помогает предотвратить кражу личных данных и другие формы кибермошенничества.
Укрепление доверия: Веб-сайт, оснащенный сертификатом SSL, часто будет отмечен визуальными индикаторами, такими как значок замка или зеленая адресная строка в вашем веб-браузере. Эти символы служат гарантией безопасности вашего соединения и позволяют безопасно вводить конфиденциальную информацию. Они играют ключевую роль в формировании чувства безопасности и надежности среди пользователей.
Содержание:
- установить SSL-сертификат на Windows IIS Server
- Создание CSR с помощью IIS 10 на Windows Server
- Настройка SSL-сертификата в IIS 10 с Windows Server 2016
Создание CSR с помощью IIS 10 на Windows Server
Для начала перейдите в меню «Пуск» Windows и введите «Диспетчер служб IIS» в строке поиска, затем запустите приложение.
В диспетчере служб IIS посмотрите на дерево меню «Подключения» в левой части экрана. Здесь вам нужно будет найти и выбрать имя вашего сервера.
Как только вы окажетесь на домашней странице с именем вашего сервера (находится на центральной панели), перейдите в сегмент IIS и дважды щелкните «Сертификаты сервера«.
Затем на экране «Сертификаты сервера» (все еще на центральной панели) обратите внимание на меню «Действия», расположенное справа. Здесь вам нужно выбрать опцию «Создать запрос сертификата…».
На экране «Свойства отличительного имени» мастера запроса сертификата вам будет предложено ввести различные сведения. Вот что вам нужно будет предоставить, прежде чем нажать «Следующий»:
– Общее имя: введите полное доменное имя, которое вы защищаете с помощью этого сертификата, например: «www.вашсайт.com».
– Организация: введите официальное зарегистрированное название вашей компании, например ООО «МойБизнес».
– Организационное подразделение: укажите свой отдел внутри компании. Общие варианты включают в себя «ИТ», «Веб-безопасность», или вы можете оставить его пустым.
– Город/местоположение: введите город, в котором официально находится ваша компания.
– Штат/Провинция: укажите штат или провинцию, в которой зарегистрирован ваш бизнес.
– Страна: в раскрывающемся меню выберите страну, в которой юридически зарегистрирован ваш бизнес.
Когда вы перейдете на страницу свойств поставщика криптографических услуг, следуйте этим инструкциям:
– Поставщик криптографических услуг: в раскрывающемся меню выберите «Поставщик криптографии Microsoft RSA SChannel», если только вам не обязательно использовать другого поставщика криптографических услуг.
– Длина в битах: используйте раскрывающееся меню, чтобы выбрать длину в битах 2048. Вы можете выбрать большую длину в битах, если у вас есть в этом особая необходимость, но в большинстве случаев обычно рекомендуется 2048.
После заполнения этих данных нажмите кнопку «Следующий.»
На шаге «Имя файла» вы увидите раздел с просьбой «Укажите имя файла для запроса сертификата». Нажмите кнопку «…», чтобы открыть окно, в котором вы можете перейти к папке, в которой вы хотите сохранить свой CSR.
Важно! Обязательно запишите назначенное вами имя файла и конкретную папку, в которой вы сохраняете файл csr.txt. Если вы введете имя файла, не выбрав место для сохранения, ваш CSR будет автоматически сохранен в C:\Windows\System32 directory.
После выполнения предыдущих шагов нажмите кнопку «Финиш» .
Затем откройте файл с помощью простого текстового редактора, например Блокнота. Обязательно скопируйте весь текст, начиная с Строка «——НАЧАТЬ НОВЫЙ ЗАПРОС СЕРТИФИКАТА——» и заканчивается строкой «——КОНЕЦ НОВОГО ЗАПРОСА СЕРТИФИКАТА——» линия. Весь этот блок текста вам нужно будет вставить в форму заказа на веб-сайте DigiCert.
Настройка SSL-сертификата в IIS 10 с Windows Server 2016
Прежде чем двигаться дальше, убедитесь, что вы создали CSR и подготовили SSL-сертификат, следуя руководству. «IIS 10: как создать CSR на Windows Server 2016».
После того как ваш SSL-сертификат проверен и выдан, пришло время установить его на Windows Server 2016, где вы изначально сгенерировали CSR. Этот процесс включает не только установку, но и настройку вашего сервера для использования нового сертификата.
Для одного сертификата: шаги по установке и активации SSL-сертификата
Для нескольких сертификатов: использование SNI для установки и настройки сертификата SSL
Установка и настройка единого SSL-сертификата:
– Найдите файл .cer (например, your_domain_com.cer), полученный вами от DigiCert, и сохраните его на сервере, где был создан CSR.
– Откройте меню «Пуск» Windows, найдите «Диспетчер служб IIS» и откройте его.
– В диспетчере служб IIS воспользуйтесь меню «Подключения» слева, чтобы найти и
выберите имя вашего сервера.
После выбора имени вашего сервера в диспетчере IIS перейдите к разделу IIS, расположенному на главной панели управления сервером (центральная панель), а затем дважды коснитесь «Сертификаты сервера».
Далее в рамках «Серверные сертификаты» окно (снова на центральной панели), посмотрите на «Действия» меню расположено справа. Здесь вы найдете и должны нажать на «Завершить запрос сертификата…» опцию.
На последнем этапе установки SSL-сертификата, в «Полный запрос сертификата» волшебник, вы прибудете в «Укажите ответ центра сертификации» раздел. Вот что делать дальше:
– Поиск файла сертификата: нажмите кнопку «…», чтобы открыть браузер файлов. Перейдите и выберите файл .cer (например, your_domain_com.cer), который вы получили от DigiCert.
– Назначение понятного имени: введите описательное имя для вашего сертификата. Это имя не включено в сам сертификат, но используется для упрощения идентификации в вашей системе. Рекомендуется включать «ДиджиСерт» вместе с датой истечения срока действия сертификата на это имя (например, дата окончания срока действия вашего сайта-digicert). Эта стратегия помогает быстро определить эмитента сертификата и срок его действия, особенно при управлении несколькими сертификатами для одного и того же домена.
– Выбор хранилища сертификатов: из доступных вариантов в раскрывающемся меню выберите «Веб хостинг» в качестве места для хранения вновь установленного сертификата.
После выполнения этих шагов нажмите кнопку «ОК» для завершения процесса установки сертификата.
Откройте Диспетчер информационных служб Интернета (IIS) и просмотрите меню «Подключения» слева. Начните с расширения имени сервера, на котором установлен ваш SSL-сертификат.
Далее разверните «Места» раздел и выберите конкретный сайт, который вы хотите защитить с помощью недавно установленного сертификата SSL.
Перейдя на главную страницу выбранного веб-сайта, обратите свое внимание на меню «Действия», расположенное с правой стороны. Здесь, в разделе «Редактировать сайт», вам нужно выбрать опцию «Привязки…».
После входа в диалоговое окно «Привязки сайта» нажмите «Добавить», чтобы начать процесс.
В «Добавить привязки сайта» интерфейс, вам нужно будет настроить несколько настроек перед завершением:
Тип: в раскрывающемся меню выберите «HTTPS» чтобы обеспечить безопасную связь вашего сайта.
IP-адрес: выберите конкретный IP-адрес вашего сайта, если он есть. Альтернативно, вы можете выбрать «Все неназначенные» если у сайта нет выделенного IP-адреса.
Порт: Войти «443» в этом поле. Это стандартный порт, используемый для безопасной связи через SSL.
Сертификат SSL: найдите и выберите только что установленный сертификат SSL, идентифицированный по имени вашего домена (например, yourdomain.com).
После установки этих параметров нажмите кнопку «ОК» для внесения изменений.
Ваш сертификат SSL теперь установлен, и веб-сайт настроен для приема безопасных соединений.
Последнее обновление
В этом руководстве Вы узнаете , как установить SSL-сертификат на сервер IIS Microsoft. К концу этого руководства у Вас будет прекрасно работающая установка SSL. Мы также дадим Вам несколько советов о том, где купить и как подобрать идеальный SSL-сертификат для сервера Microsoft IIS.
Оглавление
- Сгенерируйте код CSR
- Как установить SSL-сертификат на IIS 10
- Как установить SSL-сертификат на IIS 8 и 8.5
- Как установить SSL-сертификат на IIS 7
- Как установить SSL-сертификат на IIS 5 и 6
- Установите промежуточные сертификаты вручную
- Как добавить корневой и промежуточный сертификаты через MMC?
- Протестируйте установку SSL
- Где купить SSL-сертификат для сервера Microsoft IIS?
Сгенерируйте код CSR
Перед установкой сертификата Вам необходимо сгенерировать CSR (Certificate Signing Request) для сервера IIS.
У Вас есть два варианта:
- Сгенерируйте CSR автоматически, используя наш Генератор CSR.
Примечание: Если Вы генерируете CSR не в IIS, а с помощью внешнего инструмента, например, нашего генератора CSR, Вам нужно будет преобразовать SSL-сертификат вместе с закрытым ключом в формат PFX. Это руководство с подробными инструкциями о том, как импортировать и экспортировать файл PFX в IIS. - Следуйте нашему руководству о том , как сгенерировать CSR на IIS вручную.
Как установить SSL-сертификат на IIS 10
Выполните следующие шаги, чтобы настроить SSL-сертификат на IIS 10.
- Загрузите и распакуйте файл сертификата, который Вы получили от Центра сертификации. Найдите файл с расширением.cer и сохраните его в директории Вашего сервера.
- На клавиатуре нажмите Win + r, введите inetmgr и нажмите OK, чтобы открыть Менеджер служб Интернета (IIS). Вы также можете запустить диспетчер IIS через меню Пуск > Инструменты администрирования > Диспетчер информационных служб Интернета (IIS).
- Слева Вы найдете раздел ” Соединения “. Выберите сервер и дважды щелкните значок Сертификаты сервера на Главной странице.
- Справа найдите раздел Действия и выберите Завершить запрос на сертификат.
- Fill in the Specify Certificate Authority Response window as below:
- Имя файла, содержащего ответ центра сертификации – найдите и укажите файл .cer, который Вы получили от центра сертификации
- Дружественное имя – введите Ваше доменное имя или любое другое легко запоминающееся имя
- Выберите хранилище сертификатов для нового сертификата – Личный. Нажмите OK
- Теперь Вам нужно присвоить сертификат Вашему сайту. Вернитесь в меню Connections и раскройте папку Sites. Выберите сайт, который Вы хотите защитить
- Далее найдите и щелкните по опции Bindings. Вы найдете его в разделе Действия, в разделе Редактировать сайт.
- В следующем окне нажмите Добавить
- Появится еще одно окно. Здесь выберите следующие опции:
- Тип – HTTPS
- IP-адрес – Все неназначенные, или Ваш IP-адрес
- Порт – 443
- SSL сертификат – дружественное имя импортированного сертификата
Если Вы планируете добавить несколько SSL-сертификатов на один и тот же сервер, установите флажок Требовать указание имени сервера. Нажмите OK и Закрыть.
- Нажмите Restart (Перезапуск ) в разделе Manage Website (Управление сайтом)
Вы успешно установили SSL-сертификат на сервер IIS 10.
Примечание: Если расширение файла Вашего SSL-сертификата – *.crt (формат PEM-кодирования), Вам также может понадобиться импортировать корневой и промежуточный сертификаты на сервер через Microsoft Management Control (MMC). Для файлов *.cer и *p7b (формат PKCS#7) Вам не нужно выполнять дополнительные действия.
Как установить SSL-сертификат на IIS 8 и 8.5
После того, как ЦС проверит и выдаст SSL-сертификат, выполните следующие действия:
- Загрузите и распакуйте Ваш SSL-сертификат (файл .cer) в директорию Вашего сервера.
- Перейдите в меню Пуск > Административные инструменты > Internet Information Services (IIS) Manager и откройте его.
- Найдите свой сервер в левом меню Подключения и дважды щелкните на значке Сертификаты сервера.
- Теперь в правой панели Действия нажмите на Завершить запрос сертификата.
- Откроется окно Complete Certificate Request. Укажите путь к файлу сертификата .cer и добавьте Дружественное имя (здесь Вы можете ввести свой домен или легко запоминающееся имя, чтобы избежать путаницы с другими запросами). Из выпадающего списка выберите Личное в качестве хранилища сертификатов и нажмите OK.
- Вернитесь в раздел ” Подключения ” и нажмите, чтобы раскрыть папку ” Сайты”. Выберите сайт, который Вы хотите защитить
- Наведите курсор на правое верхнее меню Actions и выберите Bindings
- Появится новое окно Site Bindings . Нажмите Добавить
- In the Add Site Binding window, select the following parameters
- Тип – HTTPS
- IP-адрес – Все неназначенные, или Ваш IP-адрес
- Порт – 443
- SSL сертификат – дружественное имя импортированного сертификата
Мы рекомендуем установить флажок Требовать указания имени сервера, так как это позволит установить несколько SSL на одном и том же сервере. Нажмите OK и Закрыть.
- В разделе Управление сайтом нажмите Перезапустить
Примечание: Если расширение файла Вашего SSL-сертификата – *.crt (формат PEM-кодирования), Вам также может понадобиться импортировать корневой и промежуточный сертификаты на сервер через Microsoft Management Control (MMC). Для файлов *.cer и *p7b (формат PKCS#7) Вам не нужно выполнять дополнительные действия.
Поздравляем, Вы активировали HTTPS-версию для своего сайта!
Как установить SSL-сертификат на IIS 7
Вы можете установить SSL-сертификат на ту же машину, где Вы его сгенерировали, с помощью менеджера IIS. Пожалуйста, выполните следующие действия:
- Откройте и сохраните файл сертификата (.cer), который Вы получили от Центра сертификации на Вашем сервере.
- Нажмите win + r, введите inetmgr и нажмите OK, чтобы открыть диспетчер информационных служб Интернета. Вы также можете получить доступ к нему через меню Пуск >Инструменты администрирования > Internet Information Services (IIS) Manager
- Выберите сервер в правом меню ” Подключения ” и дважды щелкните на “Сертификаты сервера” в центральном меню.
- Справа внутри раздела ” Действия” нажмите на опцию “Завершить запрос сертификата“, чтобы открыть мастер завершения запроса сертификата.
- В мастере, в окне Specify Certificate Authority Response , найдите файл .cer, который Вы получили от центра сертификации; например: www_ssldragon_com.cer и дайте ему дружелюбное, легко запоминающееся имя. Дружественное имя помогает отличить этот конкретный сертификат от других сертификатов на сервере.
Совет: Для облегчения идентификации укажите имя ЦС и дату истечения срока действия в конце Вашего дружественного имени. - Нажмите OK , чтобы установить сертификат
Примечание: Если Вы получаете следующие ошибки: “Невозможно найти запрос на сертификат, связанный с этим файлом сертификата. Запрос на сертификат должен быть заполнен на том компьютере, где он был создан” или “ASN1 bad tag valuemet” при импорте сертификата, не паникуйте. Это известная проблема в IIS7, когда настоящий сертификат импортируется, но не имеет дружественного имени. К счастью, Microsoft предлагает простое решение. Закройте окно ошибки и нажмите F5, чтобы обновить список сертификатов сервера. Следуйте этим инструкциям. - Теперь Вам нужно назначить Ваш сертификат сайту по умолчанию. Перейдите в левое меню Подключения и нажмите на Ваш веб-сервер.
- Раскройте папку Сайты и выберите сайт, который Вы хотите защитить с помощью этого сертификата.
- Далее перейдите в правое меню Действия и нажмите на опцию Связи... в разделе Редактировать сайт.
- В новом окне Site Bindings нажмите Add
- In the Add Site Binding window, add the following details and click OK
- Тип – HTTPS
- IP-адрес – Все неназначенные, или Ваш IP-адрес
- Порт – 443
- SSL сертификат – дружественное имя импортированного сертификата
Поздравляю! Вы наконец-то установили SSL-сертификат на сервер Microsoft IIS 7.
Как установить SSL-сертификат на IIS 5 и 6
После того, как Вы сгенерировали CSR, Вы можете установить его на свой сервер:
- Вы получите заархивированную zip-папку от Центра сертификации. Загрузите и распакуйте файл your_domain_name.cer в директории Вашего сервера.
- Нажмите кнопку Пуск и перейдите к Инструменты администрирования в разделе Все программы . Откройте Менеджер служб Интернета
- Щелкните правой кнопкой мыши на веб-сайте, который Вы хотите защитить (например, Default Web Site), и щелкните левой кнопкой мыши на свойствах
- Выберите вкладку Directory Security и нажмите на Server Certificate.
- В Мастере сертификатов ITS выберите первую опцию Обработать ожидающий запрос и установить сертификат. Нажмите Далее
- Теперь перейдите к местоположению Вашего SSL-сертификата (файл. cert), который Вы ранее сохранили в директории Вашего сервера. Нажмите Далее
- Дважды проверьте сводный экран и нажмите Далее
- Просмотрите информацию еще раз, затем нажмите Далее и, наконец, Готово.
- Перезапустите свой сервер сейчас
Поздравляем, Вы успешно установили SSL-сертификат на сервер Microsoft ISS!
Установите промежуточные сертификаты вручную
В некоторых случаях Вам может потребоваться вручную установить промежуточные сертификаты на IIS 5 и 6 и IIS 7. Следуйте приведенным ниже инструкциям:
- Дважды щелкните Промежуточный сертификат на рабочем столе Вашего сервера и нажмите Открыть.
- В окне Сертификат выберите вкладку Общие , нажмите Установить сертификат…, затем нажмите Далее.
- В Мастере импорта сертификатов выберите Поместить все сертификаты в следующее хранилище…, затем нажмите Обзор.
- Установите флажок Показать физические магазины.
- Далее раскройте папку Промежуточный центр сертификации.
- Выберите Локальный компьютер, затем нажмите OK и Готово.
- Перезапустите сервер IIS.
Как добавить корневой и промежуточный сертификаты через MMC?
- Нажмите Win + r, введите mmc в команду “Выполнить” и нажмите Enter.
- В консоли Microsoft Management Console нажмите кнопку Файл в левом верхнем углу и выберите Добавить/удалить оснастку.
- Нажмите Добавить, затем дважды щелкните на Сертификаты
- Нажмите Добавить и выберите Учетную запись компьютера. Нажмите Далее
- В окне “Выбор компьютера” выберите первый вариант ” Локальный компьютер” и нажмите “Готово”.
- Теперь закройте окно автономной оснастки и нажмите OK в окне ‘Добавить/удалить оснастку‘.
- Вернувшись в MMC, щелкните правой кнопкой мыши на папке Intermediate Certificate Authorities и перейдите в раздел All Task > Import.
- Теперь откроется мастер импорта сертификатов. Нажмите Далее
- В следующем окне выберите промежуточный SSL-сертификат и нажмите Далее. Дождитесь завершения работы мастера и нажмите Готово.
В том маловероятном случае, если корневой сертификат не был предварительно установлен в Windows, повторите три последних шага (с 7 по 9), чтобы завершить установку корневого сертификата.
Протестируйте установку SSL
После установки важно проверить Ваш SSL-сертификат на наличие возможных ошибок и уязвимостей. Вы можете использовать один из этих SSL-инструментов для получения мгновенных отчетов о состоянии Вашего SSL.
Где купить SSL-сертификат для сервера Microsoft IIS?
SSL Dragon – это Ваше универсальное место для удовлетворения всех Ваших потребностей в SSL. Мы сотрудничаем с самыми популярными центрами сертификации на рынке и предлагаем невероятно низкие цены на весь ассортимент SSL-продуктов.
Все наши сертификаты совместимы с Microsoft IIS. Хотите ли Вы защитить веб-сайт или Вашу электронную переписку, мы позаботимся об этом.
Вы можете подобрать идеальный SSL-сертификат для Вашего проекта и бюджета с помощью нашего удобного мастера SSL Wizard и фильтра сертификатов. Первый инструмент предлагает быстрый и очень точный способ определить подходящий для Вас SSL, а последний позволяет сортировать и сравнивать различные сертификаты по цене, проверке и возможностям.
Если Вы обнаружили какие-либо неточности или хотите дополнить эти инструкции по установке SSL, пожалуйста, не стесняйтесь и присылайте нам свои отзывы по адресу [email protected]. Ваш вклад будет очень признателен! Спасибо.
Часто задаваемые вопросы
Где находится SSL-сертификат в IIS?
Перейдите к разделу Начать > Инструменты администрирования Windows > Internet Information Services (IIS) Manager. Нажмите на имя сервера на панели Подключения. Дважды щелкните по Сертификатам сервера, чтобы отобразить сертификаты в диспетчере IIS.
Копировать ссылку
Как обновить сертификат SSL на IIS?
Чтобы обновить свой SSL-сертификат на IIS, Вам необходимо установить новый, следуя тем же шагам по генерации CSR и установке SSL. SSL-сертификаты действительны в течение одного года. Поэтому, когда Вы обновляете свой сертификат, Вы покупаете новый и снова устанавливаете его на свой сервер.
Копировать ссылку
Почему мой сертификат не отображается в IIS?
Ваш сертификат может не отображаться, потому что это не тот сертификат, для которого Вы создали “Запрос на сертификат“. Если Вы добавите сертификат, который не был запрошен в “Server Certificates“, он не будет отображаться в окне привязки IIS, даже если он есть в списке “Server Certificates“.
Копировать ссылку
Сэкономьте 10% на SSL-сертификатах при заказе сегодня!
Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10
Опытный автор контента, специализирующийся на SSL-сертификатах. Превращает сложные темы кибербезопасности в понятный, увлекательный контент. Вносите свой вклад в повышение уровня цифровой безопасности с помощью впечатляющих рассказов.
Материалы по теме
Хотите продолжать учиться?
Подпишитесь на информационный бюллетень SSL.com, будьте в курсе событий и будьте в безопасности.
Скопировать ссылку на статью
Примечание: Перед установкой сертификата сначала необходимо сгенерировать запрос на подпись сертификата (CSR) и отправьте его на SSL.com для проверки и подписания. Пожалуйста, обратитесь к нашему руководству по CSR поколение в IIS 10 и руководство по представлению CSR. Обратите внимание, что вы также можете заказать и установить SSL /TLS сертификаты с SSL Manager, Бесплатный инструмент SSL.com для управления сертификатами Windows.
Время, необходимое: 30 минут
Это руководство поможет вам загрузить и установить SSL /TLS сертификат от SSL.com в IIS. Эти процедуры были протестированы в Windows 10 в IIS 10, но также будут работать в IIS 7.x и 8.x.
- Найдите заказ на сертификат.
Сначала найдите заказ в своей учетной записи SSL.com и щелкните один из скачать ссылки.
- Скачать сертификат.
Затем, щелкните скачать ссылка на право Microsoft IIS (* .p7b) в загрузка сертификатов таблице.
- Запустите диспетчер IIS.
Начните Диспетчер IIS, Один быстрый способ сделать это, открыв Run затем введите команду
inetmgrи нажмите OK . - Выберите сервер.
Выберите сервер в Связь панель, с левой стороны окна.
- Открытые сертификаты сервера.
Дважды щелкните Сертификаты сервера значок, расположенный под IIS в центральной панели окна.
- Нажмите «Завершить запрос сертификата…»
Нажмите Завершить запрос сертификата… в Действия панель, на правой стороне окна.
- Нажмите кнопку….
Коллекция Полный запрос сертификата появится мастер. Сначала нажмите кнопку с надписью «…», Чтобы открыть диалоговое окно открытия файла.
- Перейдите к файлу сертификата.
Перейдите в
.p7bфайл, который вы скачали с SSL.com. Обратите внимание, что вам придется изменить раскрывающееся меню справа от Имя файла поле из*.cerв*.*чтобы увидеть файл.
- Открыть файл.
Нажмите Откройте .
- Создайте понятное имя.
Затем введите памятное имя для сертификата в Дружественное имя поле (здесь мы просто вводим сертификат распространенное имя).
- Нажмите кнопку ОК.
Нажмите OK .
- Законченный!
Сертификат установлен! Следующим шагом является связывать сертификат для определенного веб-сайта, порта и / или IP-адреса. Пожалуйста, прочитайте наш инструкции по привязке в IIS для полных инструкций.
Если вы получили сообщение об отсутствии закрытого ключа / запроса сертификата, попробуйте следующее из командной строки, открытой от имени администратора (замените «серийный номер» фактическим серийным номером вашего сертификата в кавычках, включая пробелы):
certutil -repairstore my "serial number"
Подробные инструкции доступны здесь.
Следующие шаги
Сведения о привязке сертификата к IIS 10 см. здесь.
Спасибо, что выбрали SSL.com! Если у вас возникнут вопросы, свяжитесь с нами по электронной почте по адресу Support@SSL.com, вызов 1-877-SSL-SECURE, или просто нажмите ссылку чата в правом нижнем углу этой страницы. Вы также можете найти ответы на многие распространенные вопросы поддержки в нашем база знаний.
Будьте в курсе и будьте в безопасности
SSL.com является мировым лидером в области кибербезопасности, PKI и цифровые сертификаты. Подпишитесь, чтобы получать последние новости отрасли, советы и анонсы продуктов от SSL.com.
В данной статье мы посмотрим, как можно установить бесплатный сертификат Let’s Encrypt на web-сайт, работающий на Internet Information Servises (IIS). Наш справочник уже содержит мануалы по установке такого сертификата на Ubuntu и на CentOs, поэтому отложим теорию и приступим.
В качестве примера для установки сертификата мы будем использовать VPS, работающий на Windows Server 2019. На нашем сервере мы развернули web-сервер из набора серверов IIS, на котором запустили сайт my-domain.host. Доступ к сайту осуществляется по протоколу http.
Задача – получить сертификат из Центра Сертификации Let’s Encrypt, установить его на наш web-сервер и привязать к нашему домену. Также, мы перенаправим трафик HTTP на протокол HTTPS. Другими словами, при попытке подключится к сайту по протоколу HTTP, система будет включать протокол HTTPS.
Получение сертификата
Наиболее простым способом установки SSL-сертификата от Let’s Encrypt является применение консольной утилиты WACS (Windows ACME Simple). WACS позволяет осуществить автоматический выпуск и привязку SSL-сертификата к сайтам, работающим на IIS. На момент написания данной статьи актуальной версией утилиты являлась версия v2.1.22.1289. Загрузка клиента WACS доступна со страницы проекта на GitHub – https://github.com/win-acme/win-acme/releases.
После загрузки архива распакуйте его содержимое в каталог C:\inetpub\letsencrypt\ на вашем виртуальном сервере. Далее, запустите на исполнение файл wacs.exe. В открывшемся меню нужно выбрать опцию создания сертификата с установками по умолчанию. Для того, чтобы это сделать, введите символ N.
На следующем шаге утилита предложит выбрать сайт, для которого будет выпускаться сертификат. Поскольку в нашем случае в IIS находится всего один сайт, то мы можем нажать Enter. Если в списке будут находиться несколько сайтов, вы можете выбрать один или несколько из них, перечислив их номера через запятую. После чего нажмите символ A, чтобы выбрать все привязки, и символ y, чтобы подтвердить свой выбор.
Далее, утилита предложит открыть для прочтения Пользовательское соглашение, после чего попросит вас подтвердить своё согласие с ним. Необходимо будет ещё раз нажать y.
После этого нужно будет ввести адрес электронной почты для связи с вами по возможным проблемам с SSL-сертификатом. Далее, утилита запустит процесс выпуска сертификата и привязки его к указанным вами доменам. В заключении нажмите Q для завершения работы WACS.
После этого ваш домен должен уже быть доступен при подключении к нему с использованием протокола HTTPS. Проверьте это, набрав в браузере имя вашего сайта с префиксом https://.
Настройка протокола HTTPS
В менеджере IIS установленный сертификат можно просмотреть через меню Bindings... Для этого следует выбрать требуемый сайт с типом https, нажать Edit и в строке SSL certificate нажать View...
Плюс ко всему, утилита WACS создаёт задание в Планировщике заданий (Task Scheduler), предназначенное для продления срока действия установленного сертификата в автоматическом режиме. Задание будет ежедневно запускать на исполнение следующую команду:
C:\inetpub\letsencrypt\wacs.exe --renew --baseuri "https://acme-v02.api.letsencrypt.org/"
Поскольку наш сайт теперь доступен по 443-му порту (протокол HTTPS), есть смысл отказаться от использования доступа по протоколу HTTP. Для этого необходимо перенаправить трафик HTTP на наш HTTPS-сайт. Чтобы это сделать, потребуется произвести на сервере установку модуля Microsoft URL Rewrite Module. Данный софт доступен для загрузки по ссылке – https://www.iis.net/downloads/microsoft/url-rewrite.
После установки утилиты в профиле сайта на IIS появится кнопка URL Rewrite.
Используя её нужно будет создать новое правило для перенаправления трафика: Actions 🠒 Add Rule(s).... 🠒 Blank rule. В строке Name укажите имя для нового правила (в нашем примере это – HTTP Redirect Rule). В строке Requested URL следует выбрать Matches the Pattern, в строке Pattern наберите (.*). Также, в блоке настроек Conditions в строке Logical Grouping выберите Match All и нажмите Add. В окне Add Condition в строке Condition input укажите {HTTPS}, в строке Check if input string выберите Matches the Pattern, в строке Pattern наберите ^OFF$. После чего нажмите ОК.
Также, в блоке настроек Action укажите Redirect в строке Action type, в строке Redirect URL наберите https://{HTTP_HOST}/{R:1} и в строке Redirect type выберите Permanent (301). Завершив настройки, примените внесённые изменения при помощи Apply в правом верхнем углу окна Internet Information Servises (IIS) Manager.
Теперь, перейдя в браузере по адресу вашего сайта с использованием протокола HTTP, веб-сервер должен будет перенаправить вас на адрес вашего сайта, но уже с префиксом https://.
Вместо заключения
В заключение всё-таки несколько слов о теории.
SSL-сертификаты делятся на три основных типа:
- сертификаты, выпускаемые через проверку прав на домен – Domain Validated (DV);
- сертификаты, подтверждающие домен и его принадлежность конкретному юридическому лицу – Organization Validation (OV);
- и, наконец, сертификаты с расширенной проверкой – Extended Validation (EV).
Сертификат от Let’s Encrypt, получение которого мы описали в данном руководстве, относится к первой категории.
Также, сертификаты могут быть платными и бесплатными. Рассмотренный в нашей статье SSL-сертификат от Let’s Encrypt является бесплатным. Но является ли это его неоспоримым преимуществом?
С одной стороны, да. Бесплатный сертификат обходится потребителю заведомо дешевле, чем платный. Но, с другой стороны, бесплатные сертификаты всё же имеют некоторые минусы. Во-первых, бесплатные сертификаты имеют сравнительно короткий срок действия. По истечении его сертификату требуется перевыпуск. Происходит это постоянно через определённые промежутки времени. Во-вторых, Удостоверяющие Центры, выпускающие платные SSL-сертификаты, проверяют владельцев доменов. Тем самым они формируют более высокое доверие к сайту со стороны поисковых систем и пользователей. В третьих, преимуществом платных сертификатов является наличие финансовых обязательств Центра Сертификации перед доменом. Другими словами, при утечке с ресурса пользовательских данных пострадавший сайт получит компенсацию. Конечно, при условии, что на сайте использовался платный сертификат.