SSL-sertifikaatin asentaminen IIS:ään

SSL-sertifikaatin asentamiseksi IIS:ään avaa IIS Manager, siirry Server Certificates -osioon ja lataa .crt-tiedostosi Complete Certificate Request -vaihtoehdon kautta. Napsauta sitten verkkosivustoasi hiiren oikealla painikkeella, valitse Edit Bindings > Add ja luo HTTPS-sidonta porttiin 443. CSR:n luomisesta asennuksen vahvistamiseen koko prosessi kestää noin 15 minuuttia useimmissa Windows Server -ympäristöissä. Tämä opas selittää jokaisen vaiheen kuvakaappausten avulla ja kattaa täysin yleisimmät virheet sekä HTTP:stä HTTPS:ään uudelleenohjauksen konfiguroinnin.

Haluatko myydä SSL-sertifikaatteja asiakkaillesi?

Domain Name API:n SSL-jälleenmyyjäohjelman avulla voit tarjota DV-, OV-, EV- ja Wildcard-sertifikaatteja yhdellä API:lla.

Katso SSL-jälleenmyyjäratkaisut →

Mitä on valmisteltava ennen SSL:n asentamista IIS:ään

Ennen IIS Managerin avaamista varmista, että kaikki seuraavat asiat ovat valmiina. Jos jokin näistä elementeistä puuttuu, saatat juuttua asennusprosessin puoliväliin.

Vaatimus Kuvaus
Pääsy IIS Manageriin Internet Information Services Managerin on oltava asennettuna ja käynnissä Windows Serverillä.
Järjestelmänvalvojan oikeudet Sertifikaattien asentamiseen tarvitaan palvelimen paikallisen tai toimialueen järjestelmänvalvojan oikeudet. Tavallisilla käyttäjätileillä ei voi asentaa sertifikaatteja.
CSR (Certificate Signing Request) Luodaan vaiheessa 2 IIS Managerin kautta. CSR luo myös yksityisen avaimen — molempien on pysyttävä samalla palvelimella.
SSL-sertifikaattitiedosto (.crt) CA (Certificate Authority) myöntää sen domain-vahvistuksen suorittamisen jälkeen.
CA Bundle / Välisertifikaatti CA toimittaa sen sertifikaatin mukana. Välttämätön täydelliselle luottamusketjulle — älä ohita tätä.
Yksityinen avain Luodaan automaattisesti CSR:n luomisen yhteydessä IIS:ssä. Pysyy palvelimella eikä sitä voi ladata erillisenä tiedostona.

⚠️ Jos loit CSR:n toisella palvelimella, et voi käyttää Complete Certificate Request -menetelmää. Vie sen sijaan .pfx-tiedosto (sertifikaatti + yksityinen avain yhdessä) alkuperäiseltä palvelimelta ja käytä IIS:n 'Import'-vaihtoehtoa.

Vaihe 1 — Oikean SSL-sertifikaatin valitseminen

SSL-sertifikaatit eivät ole yksi ratkaisu kaikille. Tarvitsemasi tyyppi riippuu suojattavien verkkotunnusten määrästä ja siitä, minkä tasoista henkilöllisyyden vahvistamista käyttäjäsi odottavat.

Tyyppi Mitä vahvistetaan Sopii Esimerkki
DV SSL Vain verkkotunnuksen omistajuus Blogi, henkilökohtainen sivusto, pieni yritys www.esimerkki.fi
OV SSL Verkkotunnus + organisaation henkilöllisyys Yritysten verkkosivustot, SaaS-alustat Yrityksen virallinen verkkosivusto
EV SSL Laajennettu yrityksen vahvistus Verkkokauppa, rahoitus — korkein luottamustaso checkout.esimerkki.fi
Wildcard SSL Verkkotunnus + kaikki ensimmäisen tason aliverkkotunnukset Hosting-palveluntarjoajat, rakenteet joilla on useita aliverkkotunnuksia *.esimerkki.fi

Hosting-palveluntarjoajille ja verkkotunnusten jälleenmyyjille Wildcard SSL on yleensä käytännöllisin valinta — yksi sertifikaatti kattaa kaikki aliverkkotunnukset eikä jokaista tarvitse uusia erikseen.

Myytkö SSL:ää asiakkaillesi?

Domain Name API:n SSL-jälleenmyyjäohjelma antaa sinulle pääsyn DV-, OV-, EV- ja Wildcard-sertifikaatteihin kilpailukykyisillä jälleenmyyjähinnoilla.

Katso SSL-jälleenmyyjähinnat →

Vaihe 2 — IIS Managerin avaaminen

Paina Windows Serverillä Win + R, kirjoita inetmgr ja paina Enter. Vaihtoehtoisesti voit hakea "IIS" Käynnistä-valikosta ja valita Internet Information Services (IIS) Manager.

SSL-sertifikaatin asentaminen IIS:ään

ℹ️ Etkö löydä IIS Manageria? Seuraa tätä polkua: Palvelinhallinta → Lisää rooleja ja ominaisuuksia → Verkkopalvelin (IIS). Windows-työpöytäversioissa: Ohjauspaneeli → Ohjelmat → Ota Windowsin ominaisuuksia käyttöön tai poista niitä käytöstä → Internet Information Services.

Vaihe 3 — Server Certificates -osion avaaminen

Napsauta IIS Managerin vasemmassa ruudussa palvelimesi nimeä. Etsi keskimmäisestä pääruudusta "Server Certificates" -kuvake ja kaksoisnapsauta sitä.

SSL-sertifikaatin asentaminen IIS:ään

Vaihe 4 — CSR:n luominen ja sertifikaattitiedoston lataaminen

Jos et ole vielä luonut CSR:ää, suorita tämä vaihe ennen sertifikaattitiedoston lataamista.

CSR:n luominen

  1. Napsauta "Create Certificate Request…" Actions-ruudussa.
  2. Täytä Distinguished Name -kentät — Common Namin on vastattava täsmälleen suojattavan verkkotunnuksen nimeä.
  3. Aseta avaimen pituudeksi 2048 (minimi) tai 4096 vahvempaa salausta varten.
  4. Tallenna .txt-tiedosto — sinun on liitettävä sen sisältö CA:n tilauslomakkeeseen.

Palaa tähän vaiheeseen sen jälkeen, kun CA on myöntänyt sertifikaatin.

Sertifikaatin asentaminen — Complete Certificate Request

Avaa asennusohjattu toiminto napsauttamalla "Complete Certificate Request…" Actions-ruudussa.

SSL-sertifikaatin asentaminen IIS:ään

⚠️ Loit CSR:n toisella palvelimella? Complete Certificate Request ei toimi tässä tapauksessa. Vie .pfx-tiedosto (PKCS#12) — mukaan lukien yksityinen avain — alkuperäiseltä palvelimelta ja käytä 'Import'-vaihtoehtoa Server Certificates -osion Actions-ruudussa.

Jos siirryt cPanelista, Pleskistä tai Linux-palvelimelta IIS:ään: et voi tuoda olemassa olevaa sertifikaattiasi suoraan IIS:ään. Muunna sertifikaatti ensin .pfx-muotoon (PKCS#12) OpenSSL-komennolla tai verkossa toimivalla PEM→PFX-muuntimella, ja käytä sitten Server Certificates → Import IIS:ssä. OpenSSL-komento on:

openssl pkcs12 -export -out sertifikaatti.pfx -inkey yksityinen.key -in sertifikaatti.crt -certfile cabundle.crt

Vaihe 5 — Sertifikaattitiedoston valitseminen ja Friendly Namin syöttäminen

"Specify Certificate Authority Response" -ikkuna avautuu. Täytä kolme kenttää seuraavasti:

Kenttä Mitä syötetään
File name (.cer) Valitse .crt-tiedostosi "…"-painikkeen kautta. IIS hyväksyy sekä .crt- että .cer-päätteet.
Friendly name Lyhyt tunniste jonka tunnistat — esim. esimerkki.fi-2025. Valitset tämän nimen uudelleen vaiheessa 6.
Certificate store Valitse "Personal". Jos sertifikaatti ei näy sen jälkeen, kokeile "Web Hosting".

SSL-sertifikaatin asentaminen IIS:ään

Napsauta "OK" kaikkien kenttien täyttämisen jälkeen. Sertifikaatti on nyt ladattu palvelimelle. Se ei vielä käsittele HTTPS-liikennettä — tämä tapahtuu seuraavassa vaiheessa.

Vaihe 6 — HTTPS-sidonnan luominen porttiin 443

Sertifikaatti on asennettu, mutta IIS ei vielä tiedä minkä verkkosivuston pitäisi käyttää sitä. Sinun täytyy luoda sidonta, joka yhdistää portin 443 verkkosivustoosi ja sertifikaattiisi.

Napsauta hiiren oikealla painikkeella verkkosivustoasi vasemmassa ruudussa ja napsauta "Edit Bindings…". Site Bindings -ikkunassa napsauta "Add".

SSL-sertifikaatin asentaminen IIS:ään

Kenttä Arvo / Kuvaus
Type https
IP Address All Unassigned — tai palvelimellesi määritetty tietty IP, jos sovellettavissa
Port 443
Hostname Syötä verkkotunnuksen nimi täsmälleen niin kuin se näkyy sertifikaatissa (esim. www.esimerkki.fi)
SNI Valitse "Require Server Name Indication" jos useammat sivustot jakavat tämän IP-osoitteen
SSL Certificate Valitse vaiheessa 5 syöttämäsi Friendly Name

SSL-sertifikaatin asentaminen IIS:ään

Napsauta "OK" tallentaaksesi. Verkkosivustosi on nyt saavutettavissa HTTPS:n kautta.

Mikä on SNI ja milloin se pitää ottaa käyttöön?

SNI (Server Name Indication) on TLS-laajennus, jonka avulla yksi IP-osoite voi palvella useita SSL-sertifikaatteja — yksi sertifikaatti per isäntänimi. Ilman SNI:tä IIS voi palvella vain yhtä sertifikaattia per IP-osoite isäntänimestä riippumatta.

Ota SNI käyttöön seuraavissa tilanteissa: (a) isännöit useita HTTPS-sivustoja yhdellä palvelimen IP-osoitteella, tai (b) palvelimesi on jaetun kuormantasaajan takana. IIS 7.5 ja vanhemmat versiot eivät tue SNI:tä — jokaiselle verkkotunnukselle tarvitaan erillinen IP. IIS 8 ja uudemmat versiot tukevat SNI:tä natiivisti.

Vaihe 7 — Uudelleenohjaus HTTP:stä HTTPS:ään

HTTPS-sidonnan lisääminen ei ohjaa http://-liikennettä automaattisesti uudelleen. Ilman uudelleenohjausta jotkin kävijät — ja hakukoneiden botit — jatkavat pääsyä sivustosi salaamattomaan versioon.

Uudelleenohjaus IIS:n URL Rewrite -moduulilla (suositellaan)

  1. Lataa ja asenna URL Rewrite -moduuli Microsoftilta (ilmainen, Web Platform Installerin tai suoran latauksen kautta).
  2. Valitse sivustosi IIS Managerissa ja kaksoisnapsauta "URL Rewrite".
  3. Valitse "Add Rule(s)" → "Blank Rule". Nimeä sääntö "HTTP to HTTPS".
  4. Match URL: Pattern = .*
  5. Lisää ehto: {HTTPS} vastaa mallia "^OFF$".
  6. Toiminto: Ohjaa uudelleen osoitteeseen https://{HTTP_HOST}/{R:0}, Uudelleenohjaustyyppi: Pysyvä (301).

Miksi tämä on tärkeää SEO:n ja käyttäjien luottamuksen kannalta: Google on käyttänyt HTTPS:ää sijoitussignaalina vuodesta 2014. Tarkemmin sanottuna Chrome ja Edge merkitsevät jokaisen HTTP-sivun 'Ei turvallinen' -merkinnällä — tämä heikentää käyttäjien luottamusta ja nostaa poistumisprosenttia; molemmat ovat epäsuoria negatiivisia SEO-tekijöitä. 301-uudelleenohjaus siirtää myös linkkiarvon HTTP-URL-osoitteista HTTPS-versioon.

Vaihe 8 — SSL-asennuksen vahvistaminen

Älä oleta, että kaikki toimii — vahvista se. Suorita nämä kolme tarkistusta ennen kuin pidät asennusta valmiina:

  • Lukkokuvake selaimessa: Avaa https://www.esimerkki.fi Chromessa tai Edgessä. Osoitepalkissa oleva lukkokuvake vahvistaa, että HTTPS on aktiivinen.
  • SSL Checker: Käytä verkossa toimivaa SSL-tarkistustyökalua varmentaaksesi sertifikaattiketjun, vanhenemispäivämäärän ja myöntäjän.
  • SSL Labs -testi: Siirry osoitteeseen ssllabs.com/ssltest ja syötä verkkotunnuksesi nimi. Tavoittele arvosanaa A tai A+ — alhaisempi arvosana viittaa yleensä konfigurointiongelmaan, joka on korjattava.

✅ Ei lukkokuvaketta? Yleisin syy on epätäydellinen sertifikaattiketju — välisertifikaattia (CA Bundle) ei ole asennettu. Asenna se IIS:n sertifikaattivarastoon certlm.msc:n avulla MMC:llä, ja käynnistä sitten IIS uudelleen.