So installieren Sie ein SSL-Zertifikat auf IIS
Um ein SSL-Zertifikat auf IIS zu installieren, öffnen Sie den IIS Manager, wechseln Sie zu Server Certificates und laden Sie Ihre .crt-Datei über die Option Complete Certificate Request hoch. Anschließend klicken Sie mit der rechten Maustaste auf Ihre Website, wählen Edit Bindings > Add und erstellen eine HTTPS-Bindung auf Port 443. Von der CSR-Erstellung bis zur Überprüfung der Installation dauert der gesamte Vorgang in den meisten Windows Server-Umgebungen etwa 15 Minuten. Diese Anleitung erklärt jeden Schritt mit Screenshots und behandelt auch häufige Fehler sowie die HTTP-zu-HTTPS-Weiterleitung vollständig.
Möchten Sie SSL-Zertifikate an Ihre Kunden verkaufen?
Mit dem SSL-Händlerprogramm von Domain Name API können Sie DV-, OV-, EV- und Wildcard-Zertifikate über eine einzige API anbieten.
Was Sie vor der IIS SSL-Installation bereithalten müssen
Bevor Sie den IIS Manager öffnen, stellen Sie sicher, dass folgendes bereit ist. Fehlt eines dieser Elemente, bleiben Sie mitten im Installationsprozess stecken.
| Anforderung | Beschreibung |
|---|---|
| Zugang zum IIS Manager | Internet Information Services Manager muss auf dem Windows Server installiert sein und laufen. |
| Administratorrechte | Sie benötigen lokale oder Domänen-Administratorrechte auf dem Server, um Zertifikate zu installieren. Standardbenutzerkonten können keine Zertifikate installieren. |
| CSR (Certificate Signing Request) | Wird in Schritt 2 über den IIS Manager erstellt. Der CSR erzeugt auch den privaten Schlüssel — beide müssen auf demselben Server bleiben. |
| SSL-Zertifikatdatei (.crt) | Wird von der CA (Zertifizierungsstelle) nach abgeschlossener Domänenvalidierung ausgestellt. |
| CA Bundle / Zwischenzertifikat | Wird von der CA zusammen mit dem Zertifikat bereitgestellt. Für eine vollständige Vertrauenskette zwingend erforderlich — nicht überspringen. |
| Privater Schlüssel | Wird bei der CSR-Erstellung in IIS automatisch generiert. Er verbleibt auf dem Server und kann nicht als separate Datei heruntergeladen werden. |
⚠️ Wenn Sie Ihren CSR auf einem anderen Server erstellt haben, können Sie die Methode Complete Certificate Request nicht verwenden. Exportieren Sie stattdessen eine .pfx-Datei (Zertifikat + privater Schlüssel zusammen) vom ursprünglichen Server und verwenden Sie in IIS die Option 'Import'.
Schritt 1 — Das richtige SSL-Zertifikat auswählen
SSL-Zertifikate sind keine Einheitslösung. Die Art, die Sie benötigen, hängt davon ab, wie viele Domains Sie absichern und welches Maß an Identitätsverifizierung Ihre Nutzer erwarten.
| Typ | Was wird validiert | Für wen geeignet | Beispiel |
|---|---|---|---|
| DV SSL | Nur Domaininhaberschaft | Blog, persönliche Website, Kleinunternehmen | www.beispiel.de |
| OV SSL | Domain + Organisationsidentität | Unternehmenswebsites, SaaS-Plattformen | Firmenwebsite |
| EV SSL | Erweiterte Unternehmensvalidierung | E-Commerce, Finanzen — höchstes Vertrauensniveau | checkout.beispiel.de |
| Wildcard SSL | Domain + alle Subdomains der ersten Ebene | Hosting-Anbieter, Strukturen mit vielen Subdomains | *.beispiel.de |
Für Hosting-Anbieter und Domain-Händler ist Wildcard SSL in der Regel die praktischste Wahl — ein einziges Zertifikat deckt alle Subdomains ab, und Sie müssen nicht jede einzelne separat erneuern.
Verkaufen Sie SSL an Ihre Kunden?
Das SSL-Händlerprogramm von Domain Name API bietet Ihnen Zugang zu DV-, OV-, EV- und Wildcard-Zertifikaten zu wettbewerbsfähigen Händlerpreisen.
Schritt 2 — IIS Manager öffnen
Drücken Sie auf dem Windows Server Win + R, geben Sie inetmgr ein und drücken Sie Enter. Alternativ suchen Sie im Startmenü nach "IIS" und wählen Sie Internet Information Services (IIS) Manager.

ℹ️ IIS Manager nicht gefunden? Folgen Sie diesem Pfad: Server Manager → Rollen und Features hinzufügen → Web Server (IIS). Auf Windows-Desktop-Versionen: Systemsteuerung → Programme → Windows-Features aktivieren oder deaktivieren → Internet Information Services.
Schritt 3 — Server Certificates öffnen
Klicken Sie im linken Bereich des IIS Managers auf den Namen Ihres Servers. Suchen Sie im mittleren Bereich das Symbol "Server Certificates" und doppelklicken Sie darauf.

Schritt 4 — CSR erstellen und Zertifikatdatei hochladen
Wenn Sie noch keinen CSR erstellt haben, schließen Sie diesen Schritt ab, bevor Sie die Zertifikatdatei hochladen.
So erstellen Sie einen CSR
- Klicken Sie im Bereich Actions auf "Create Certificate Request…".
- Füllen Sie die Distinguished Name-Felder aus — der Common Name muss exakt mit dem zu sichernden Domainnamen übereinstimmen.
- Stellen Sie die Bitlänge auf 2048 (Minimum) oder 4096 für stärkere Verschlüsselung ein.
- Speichern Sie die .txt-Datei — Sie müssen den Inhalt in das Bestellformular der CA einfügen.
Kehren Sie zu diesem Schritt zurück, nachdem die CA das Zertifikat ausgestellt hat.
Zertifikat installieren — Complete Certificate Request
Klicken Sie im Bereich Actions auf "Complete Certificate Request…", um den Installationsassistenten zu öffnen.

⚠️ Haben Sie den CSR auf einem anderen Server erstellt? Complete Certificate Request funktioniert in diesem Fall nicht. Exportieren Sie eine .pfx-Datei (PKCS#12) — einschließlich des privaten Schlüssels — vom ursprünglichen Server und verwenden Sie die Option 'Import' im Actions-Bereich unter Server Certificates.
Wenn Sie von cPanel, Plesk oder einem Linux-Server zu IIS wechseln: Sie können Ihr bestehendes Zertifikat nicht direkt in IIS importieren. Konvertieren Sie das Zertifikat zunächst mit einem OpenSSL-Befehl oder einem Online-PEM→PFX-Konverter in das .pfx-Format (PKCS#12) und verwenden Sie dann Server Certificates → Import in IIS. Der OpenSSL-Befehl lautet:
openssl pkcs12 -export -out zertifikat.pfx -inkey privat.key -in zertifikat.crt -certfile cabundle.crt
Schritt 5 — Zertifikatdatei auswählen und Friendly Name eingeben
Das Fenster "Specify Certificate Authority Response" wird geöffnet. Füllen Sie die drei Felder wie folgt aus:
| Feld | Was einzutragen ist |
|---|---|
| File name (.cer) | Wählen Sie Ihre .crt-Datei über die Schaltfläche "…" aus. IIS akzeptiert sowohl .crt- als auch .cer-Erweiterungen. |
| Friendly name | Eine kurze Bezeichnung, die Sie wiedererkennen — z.B. beispiel.de-2025. In Schritt 6 wählen Sie diesen Namen erneut aus. |
| Certificate store | Wählen Sie "Personal". Wenn das Zertifikat danach nicht angezeigt wird, versuchen Sie "Web Hosting". |

Klicken Sie auf "OK", wenn alle Felder ausgefüllt sind. Das Zertifikat ist nun auf den Server hochgeladen. Es bedient noch keinen HTTPS-Datenverkehr — das geschieht im nächsten Schritt.
Schritt 6 — HTTPS-Bindung auf Port 443 erstellen
Das Zertifikat ist installiert, aber IIS weiß noch nicht, welche Website es verwenden soll. Sie müssen eine Bindung erstellen, die Port 443 mit Ihrer Website und Ihrem Zertifikat verknüpft.
Klicken Sie mit der rechten Maustaste auf Ihre Website im linken Bereich und klicken Sie auf "Edit Bindings…". Klicken Sie im Fenster Site Bindings auf "Add".

| Feld | Wert / Beschreibung |
|---|---|
| Type | https |
| IP Address | All Unassigned — oder die spezifische Ihrem Server zugewiesene IP, falls zutreffend |
| Port | 443 |
| Hostname | Geben Sie den Domainnamen genau so ein, wie er im Zertifikat erscheint (z.B. www.beispiel.de) |
| SNI | Aktivieren Sie "Require Server Name Indication", wenn mehrere Websites diese IP-Adresse teilen |
| SSL Certificate | Wählen Sie den Friendly Name aus, den Sie in Schritt 5 eingegeben haben |

Klicken Sie auf "OK" zum Speichern. Ihre Website ist jetzt über HTTPS erreichbar.
Was ist SNI und wann sollte es aktiviert werden?
SNI (Server Name Indication) ist eine TLS-Erweiterung, die es einer einzigen IP-Adresse ermöglicht, mehrere SSL-Zertifikate bereitzustellen — ein Zertifikat pro Hostname. Ohne SNI kann IIS unabhängig vom Hostname nur ein Zertifikat pro IP-Adresse bereitstellen.
Aktivieren Sie SNI in folgenden Fällen: (a) Sie betreiben mehrere HTTPS-Websites auf einer einzigen Server-IP, oder (b) Ihr Server befindet sich hinter einem gemeinsam genutzten Load Balancer. IIS 7.5 und früher unterstützen kein SNI — hier ist pro Domain eine separate IP erforderlich. IIS 8 und höher unterstützen SNI nativ.
Schritt 7 — Weiterleitung von HTTP zu HTTPS
Das Hinzufügen einer HTTPS-Bindung leitet http://-Datenverkehr nicht automatisch weiter. Ohne Weiterleitung erreichen einige Besucher — und Suchmaschinen-Crawler — weiterhin die unverschlüsselte Version Ihrer Website.
Weiterleitung mit dem IIS URL Rewrite-Modul (empfohlen)
- Laden Sie das URL Rewrite-Modul von Microsoft herunter und installieren Sie es (kostenlos, über den Web Platform Installer oder Direktdownload).
- Wählen Sie Ihre Website im IIS Manager aus und doppelklicken Sie auf "URL Rewrite".
- Wählen Sie "Add Rule(s)" → "Blank Rule". Benennen Sie die Regel "HTTP to HTTPS".
- Match URL: Pattern = .*
- Bedingung hinzufügen: {HTTPS} entspricht dem Muster "^OFF$".
- Aktion: Weiterleiten zu https://{HTTP_HOST}/{R:0}, Weiterleitungstyp: Permanent (301).
Warum das für SEO und Nutzervertrauen wichtig ist: Google verwendet HTTPS seit 2014 als Rankingsignal. Konkret markieren Chrome und Edge jede HTTP-Seite als 'Nicht sicher' — das schwächt das Nutzervertrauen und erhöht die Absprungrate; beides sind indirekte negative SEO-Faktoren. Eine 301-Weiterleitung überträgt außerdem die Link Equity von HTTP-URLs auf die HTTPS-Version.
Schritt 8 — SSL-Installation überprüfen
Nehmen Sie nicht an, dass alles funktioniert — überprüfen Sie es. Führen Sie diese drei Kontrollen durch, bevor Sie die Installation als abgeschlossen betrachten:
- Schloss-Symbol im Browser: Öffnen Sie https://www.beispiel.de in Chrome oder Edge. Das Schloss-Symbol in der Adressleiste bestätigt, dass HTTPS aktiv ist.
- SSL Checker: Verwenden Sie ein Online-SSL-Prüfwerkzeug, um die Zertifikatskette, das Ablaufdatum und den Aussteller zu überprüfen.
- SSL Labs-Test: Besuchen Sie ssllabs.com/ssltest und geben Sie Ihren Domainnamen ein. Streben Sie die Note A oder A+ an — eine niedrigere Note weist in der Regel auf ein Konfigurationsproblem hin, das behoben werden muss.
✅ Kein Schloss-Symbol? Der häufigste Grund ist eine unvollständige Zertifikatskette — Ihr Zwischenzertifikat (CA Bundle) ist nicht installiert. Installieren Sie es über certlm.msc mit MMC im IIS-Zertifikatspeicher und starten Sie anschließend IIS neu.
