Установка SSL сертификата в IIS на Windows Server

Данная инструкция описывает процедуру выпуска и установки SSL сертификатов на веб сервере IIS (Internet Information Services) в Windows Server.

Генерация CSR запроса в IIS

Для генерации SSL/TLS сертификата у внешнего Certificate Authority (CA) вам нужно сгенерировать запрос для выпуска сертификата (CSR, Certificate Signing Request) . Вы можете сформировать CSR в ISS:

1. Откройте консоль Internet Information Services Manager ( InetMgr.exe );
2. Выберите ваш хост Windows Server и откройте раздел Server Certificates;
3. В правом меню Actions выберите Создать запрос сертификата (Create Certificate Request) ;
4. Заполните следующие поля в информацию о сертификате:
   • • Common Name – укажите имя сайта (веб-сервера), по которому будут обращаться ваши клиенты. Укажите FQDN имя, например: reports.remontka.com . Вы можете использоватьWildcard-сертфикат, в этом случае укажите здесь *.remontka.com
     • Organization – укажите название организации. Для сертификатов с валидацией организации (OV-Organization Validation) и сертификатов с расширенной проверкой (EV-Extended Validation) нужно указать официальное название организации. Для физических лиц можно использовать SSL-сертификатов c домена (DV-Domain Validation). В этом случае указывается полное имя владельца сертификата;
     • Organizational unit – yкажите внутреннее название подразделения вашей организации, которое является ответственным за сертификат;
     • City/locality
     • State/province
     • Country/region – двухбуквенный код страны.

5. Выберите крипто провайдер и длину ключу. Рекомендуется использовать Microsoft RSA SChannel Cryptographic Provider с длиной ключа 2048 бит и более;
6. Укажите имя файла, в который нужно сохранить CSR запрос.
7. Должен сгенерироваться текстовый файл, который начинается с BEGIN NEW CERTIFICATE REQUEST и заканчивается END NEW CERTIFICATE REQUEST .

Передайте ваш CSR-файл организации, уполномоченной выпускать SSL сертификаты. Если вы используете внутренний CA на базе Microsoft, загрузите CSR файл и подпишите сертификат и скачайте файл.

Установка SSL сертификата в ISS

После того, как вы получили ваш файл (*.CER) с сертификатом SST/TLS от вашего CA, вы можете установить его в IIS.

Для этого запустите консоль IIS Manager, перейдите в раздел Certificates и выберите Complete Certificate Request.

Выберите *,crt файл с SSL сертификатом, полученным от центра сертификации. Укажите имя SSL сертификата и хранилище, в которое поместить сертификат (Personal или Web Hosting).

Новый SSL сертификат должен появится в списке доступных сертификатов в IIS.

Привязать SSL сертификат к сайту IIS

Теперь нужно привязать ваш сертификат к сайту IIS, порту и/или IP адресу. Найдите ваш сайт в консоли IIS и выберите Edit Bindings .

Нажмите Add и заполните следующую информацию:

• Type: https
• IP Address: выберите All Unassigned , или выберите конкретный IP адрес, которому нужно привязать SSL сертификат (на одном порту и IP адресе веб сервера IIS можно запустить несколько сайтов )
• Port: 443
• Hostname: укажите имя узла, для которого выпущен сертификат
• SSL Certificate: выберите из списка SSL сертификат, который вы установили

Перезапустите сайт IIS (Manage Website -> Restart или командой iisreset ).

Откройте ваш веб сайт IIS в браузере используя префикс https:// . Если сертификат установлен правильно в адресной строке браузера появится зеленый замок. Это значит что подключение защищено. Нажмите на замок чтобы просмотреть информацию о вашем SSL сертификате.

Далее нужно настроить правила, которое будет перенаправлять все HTTP запросы к сайту IIS на HTTPS .