Как да инсталирате SSL сертификат на IIS
За да инсталирате SSL сертификат на IIS, отворете IIS Manager, отидете в Server Certificates и качете вашия .crt файл чрез опцията Complete Certificate Request. След това щракнете с десния бутон върху уебсайта си, изберете Edit Bindings > Add и създайте HTTPS binding на порт 443. От създаването на CSR до проверката на инсталацията целият процес отнема около 15 минути в повечето среди на Windows Server. Това ръководство обяснява всяка стъпка с екранни снимки и покрива изцяло и най-честите грешки, както и пренасочването от HTTP към HTTPS.
Искате ли да продавате SSL сертификати на своите клиенти?
С програмата за препродавачи на SSL на Domain Name API можете да предлагате DV, OV, EV и Wildcard сертификати чрез един-единствен API.
Какво трябва да подготвите преди инсталирането на SSL на IIS
Преди да отворите IIS Manager, уверете се, че следното е готово. Ако липсва някой от тези елементи, рискувате да се блокирате по средата на инсталационния процес.
| Изискване | Описание |
|---|---|
| Достъп до IIS Manager | Internet Information Services Manager трябва да е инсталиран и да работи на Windows Server. |
| Права на администратор | Имате нужда от права на локален администратор или администратор на домейн на сървъра, за да инсталирате сертификати. Стандартните потребителски акаунти не могат да инсталират сертификати. |
| CSR (Certificate Signing Request) | Създава се в стъпка 2 чрез IIS Manager. CSR генерира и частния ключ — и двата трябва да останат на същия сървър. |
| Файл на SSL сертификата (.crt) | Издава се от CA (Сертифициращия орган) след завършване на валидирането на домейна. |
| CA Bundle / Междинен сертификат | Предоставя се от CA заедно със сертификата. Задължителен за пълна верига на доверие — не го пропускайте. |
| Частен ключ | Генерира се автоматично при създаването на CSR в IIS. Остава на сървъра и не може да бъде изтеглен като отделен файл. |
⚠️ Ако сте създали CSR на друг сървър, не можете да използвате метода Complete Certificate Request. Вместо това експортирайте .pfx файл (сертификат + частен ключ заедно) от оригиналния сървър и използвайте опцията 'Import' в IIS.
Стъпка 1 — Избор на правилния SSL сертификат
SSL сертификатите не са универсално решение. Видът, от който се нуждаете, зависи от броя на домейните, които искате да защитите, и от нивото на верификация на самоличността, което очакват вашите потребители.
| Вид | Какво се валидира | За кого е подходящ | Пример |
|---|---|---|---|
| DV SSL | Само собствеността на домейна | Блог, личен сайт, малък бизнес | www.primer.bg |
| OV SSL | Домейн + идентичност на организацията | Корпоративни сайтове, SaaS платформи | Корпоративен уебсайт |
| EV SSL | Разширена верификация на компанията | Електронна търговия, финанси — най-високо ниво на доверие | checkout.primer.bg |
| Wildcard SSL | Домейн + всички поддомейни от първо ниво | Хостинг доставчици, структури с много поддомейни | *.primer.bg |
За хостинг доставчиците и препродавачите на домейни Wildcard SSL обикновено е най-практичният избор — един сертификат покрива всички поддомейни и не е необходимо да подновявате всеки поотделно.
Продавате ли SSL на своите клиенти?
Програмата за препродавачи на SSL на Domain Name API ви дава достъп до DV, OV, EV и Wildcard сертификати на конкурентни цени за препродавачи.
Стъпка 2 — Отваряне на IIS Manager
На Windows Server натиснете Win + R, напишете inetmgr и натиснете Enter. Алтернативно потърсете "IIS" в менюто Старт и изберете Internet Information Services (IIS) Manager.

ℹ️ Не намирате IIS Manager? Следвайте тази пътека: Server Manager → Добавяне на роли и функции → Web Server (IIS). На настолни версии на Windows: Контролен панел → Програми → Включване или изключване на функции на Windows → Internet Information Services.
Стъпка 3 — Отваряне на Server Certificates
В левия панел на IIS Manager кликнете върху името на вашия сървър. В централния панел намерете иконата "Server Certificates" и кликнете двукратно върху нея.

Стъпка 4 — Създаване на CSR и качване на файла на сертификата
Ако все още не сте създали CSR, изпълнете тази стъпка преди да качите файла на сертификата.
Как да създадете CSR
- Кликнете върху "Create Certificate Request…" в панела Actions.
- Попълнете полетата Distinguished Name — Common Name трябва да съответства точно на името на домейна, който ще защитавате.
- Задайте дължина на ключа 2048 (минимум) или 4096 за по-силно криптиране.
- Запазете .txt файла — ще трябва да поставите съдържанието му в поръчковия формуляр на CA.
Върнете се към тази стъпка след като CA издаде сертификата.
Инсталиране на сертификата — Complete Certificate Request
Кликнете върху "Complete Certificate Request…" в панела Actions, за да отворите съветника за инсталация.

⚠️ Създали ли сте CSR на друг сървър? Complete Certificate Request няма да работи в този случай. Експортирайте .pfx файл (PKCS#12) — включително частния ключ — от оригиналния сървър и използвайте опцията 'Import' в панела Actions под Server Certificates.
Ако мигрирате от cPanel, Plesk или Linux сървър към IIS: не можете директно да импортирате съществуващия си сертификат в IIS. Първо конвертирайте сертификата в .pfx (PKCS#12) формат с OpenSSL команда или онлайн конвертор PEM→PFX, след което използвайте Server Certificates → Import в IIS. OpenSSL командата е:
openssl pkcs12 -export -out sertifikat.pfx -inkey chastен.key -in sertifikat.crt -certfile cabundle.crt
Стъпка 5 — Избор на файла на сертификата и въвеждане на Friendly Name
Отваря се прозорецът "Specify Certificate Authority Response". Попълнете трите полета по следния начин:
| Поле | Какво да въведете |
|---|---|
| File name (.cer) | Изберете вашия .crt файл чрез бутона "…". IIS приема както .crt, така и .cer разширения. |
| Friendly name | Кратък етикет, по който ще разпознаете сертификата — напр. primer.bg-2025. Ще изберете това име в стъпка 6. |
| Certificate store | Изберете "Personal". Ако сертификатът не се появи след това, опитайте "Web Hosting". |

Кликнете върху "OK" след попълването на всички полета. Сертификатът вече е качен на сървъра. Все още не обслужва HTTPS трафик — това се случва в следващата стъпка.
Стъпка 6 — Създаване на HTTPS binding на порт 443
Сертификатът е инсталиран, но IIS все още не знае кой уебсайт трябва да го използва. Трябва да създадете binding, който свързва порт 443 с вашия сайт и вашия сертификат.
Щракнете с десния бутон върху вашия уебсайт в левия панел и кликнете върху "Edit Bindings…". В прозореца Site Bindings кликнете върху "Add".

| Поле | Стойност / Описание |
|---|---|
| Type | https |
| IP Address | All Unassigned — или конкретният IP, присвоен на вашия сървър, ако е приложимо |
| Port | 443 |
| Hostname | Въведете името на домейна точно така, както се появява в сертификата (напр. www.primer.bg) |
| SNI | Отметнете "Require Server Name Indication", ако няколко сайта споделят този IP адрес |
| SSL Certificate | Изберете Friendly Name, въведен в стъпка 5 |

Кликнете върху "OK" за запазване. Вашият сайт вече е достъпен чрез HTTPS.
Какво е SNI и кога трябва да се активира?
SNI (Server Name Indication) е TLS разширение, което позволява на един IP адрес да обслужва множество SSL сертификати — по един сертификат за всеки hostname. Без SNI IIS може да обслужва само един сертификат на IP адрес, независимо от hostname-а.
Активирайте SNI в следните случаи: (а) хоствате няколко HTTPS сайта на един сървърен IP, или (б) вашият сървър се намира зад споделен балансатор на натоварването. IIS 7.5 и по-ранните версии не поддържат SNI — необходим е отделен IP за всеки домейн. IIS 8 и по-новите версии поддържат SNI нативно.
Стъпка 7 — Пренасочване от HTTP към HTTPS
Добавянето на HTTPS binding не пренасочва автоматично http:// трафика. Без пренасочване някои посетители — и ботовете на търсачките — ще продължат да достигат некриптираната версия на вашия сайт.
Пренасочване с модула URL Rewrite на IIS (препоръчително)
- Изтеглете и инсталирайте модула URL Rewrite от Microsoft (безплатен, чрез Web Platform Installer или директно изтегляне).
- Изберете вашия сайт в IIS Manager и кликнете двукратно върху "URL Rewrite".
- Изберете "Add Rule(s)" → "Blank Rule". Наименувайте правилото "HTTP to HTTPS".
- Match URL: Pattern = .*
- Добавете условие: {HTTPS} съответства на шаблона "^OFF$".
- Действие: Пренасочване към https://{HTTP_HOST}/{R:0}, Тип пренасочване: Постоянно (301).
Защо е важно за SEO и доверието на потребителите: Google използва HTTPS като сигнал за класиране от 2014 г. По-конкретно, Chrome и Edge маркират всяка HTTP страница като 'Не е защитена' — това подкопава доверието на потребителите и увеличава процента на отказ; и двете са косвени негативи за SEO. Пренасочването 301 също прехвърля link equity от HTTP URL-ите към HTTPS версията.
Стъпка 8 — Проверка на SSL инсталацията
Не приемайте, че всичко работи — проверете го. Извършете тези три проверки, преди да считате инсталацията за завършена:
- Икона на катинар в браузъра: Отворете https://www.primer.bg в Chrome или Edge. Иконата на катинар в адресната лента потвърждава, че HTTPS е активен.
- SSL Checker: Използвайте онлайн инструмент за проверка на SSL, за да верифицирате веригата на сертификата, датата на изтичане и издателя.
- SSL Labs тест: Отидете на ssllabs.com/ssltest и въведете вашето домейн име. Целете оценка A или A+ — по-ниска оценка обикновено указва проблем с конфигурацията, който трябва да се отстрани.
✅ Няма икона на катинар? Най-честата причина е непълна верига на сертификата — вашият междинен сертификат (CA Bundle) не е инсталиран. Инсталирайте го в хранилището за сертификати на IIS чрез certlm.msc с MMC, след което рестартирайте IIS.
