Kako instalirati SSL certifikat na IIS-u

Za instalaciju SSL certifikata na IIS-u otvorite IIS Manager, idite na Server Certificates i učitajte svoju .crt datoteku putem opcije Complete Certificate Request. Zatim desnim klikom kliknite na svoju web stranicu, odaberite Edit Bindings > Add i stvorite HTTPS Binding na portu 443. Od stvaranja CSR-a do provjere instalacije, cijeli postupak traje oko 15 minuta u većini Windows Server okruženja. Ovaj vodič objašnjava svaki korak sa snimkama zaslona i potpuno pokriva najčešće pogreške te konfiguraciju preusmjeravanja s HTTP-a na HTTPS.

Želite li prodavati SSL certifikate svojim klijentima?

S programom za preprodavače SSL-a tvrtke Domain Name API možete nuditi DV, OV, EV i Wildcard certifikate putem jednog API-ja.

Pogledajte rješenja za SSL preprodavače →

Što je potrebno pripremiti prije instalacije SSL-a na IIS-u

Prije otvaranja IIS Managera provjerite jesu li sve sljedeće stavke spremne. Ako nedostaje bilo koja od njih, možete se zaglaviti usred procesa instalacije.

Zahtjev Opis
Pristup IIS Manageru Internet Information Services Manager mora biti instaliran i pokrenut na Windows Serveru.
Administratorska prava Za instalaciju certifikata potrebna su prava lokalnog administratora ili administratora domene na poslužitelju. Standardni korisnički računi ne mogu instalirati certifikate.
CSR (Zahtjev za potpisivanje certifikata) Stvara se u koraku 2 putem IIS Managera. CSR također generira privatni ključ — oba moraju ostati na istom poslužitelju.
Datoteka SSL certifikata (.crt) Izdaje je CA (Tijelo za certifikaciju) nakon završetka provjere domene.
CA Bundle / Posrednički certifikat Pruža ga CA zajedno s certifikatom. Obavezan je za potpuni lanac povjerenja — nemojte ga preskočiti.
Privatni ključ Automatski se generira pri stvaranju CSR-a u IIS-u. Ostaje na poslužitelju i ne može se preuzeti kao zasebna datoteka.

⚠️ Ako ste CSR stvorili na drugom poslužitelju, ne možete koristiti metodu Complete Certificate Request. Umjesto toga izvezite .pfx datoteku (certifikat + privatni ključ zajedno) s izvornog poslužitelja i koristite opciju 'Import' u IIS-u.

Korak 1 — Odabir pravog SSL certifikata

SSL certifikati nisu jedinstveno rješenje za sve. Vrsta koja vam je potrebna ovisi o broju domena koje želite zaštititi i razini provjere identiteta koju vaši korisnici očekuju.

Vrsta Što se provjerava Za koga je prikladno Primjer
DV SSL Samo vlasništvo domene Blog, osobna stranica, malo poduzeće www.primjer.hr
OV SSL Domena + identitet organizacije Korporativne stranice, SaaS platforme Službena web stranica tvrtke
EV SSL Proširena provjera tvrtke E-trgovina, financije — najviša razina povjerenja checkout.primjer.hr
Wildcard SSL Domena + sve poddomene prve razine Pružatelji hostinga, strukture s mnogim poddomenama *.primjer.hr

Za pružatelje hostinga i preprodavače domena, Wildcard SSL obično je najpraktičniji izbor — jedan certifikat pokriva sve poddomene i nije potrebno obnavljati svaku zasebno.

Prodajete li SSL svojim klijentima?

Program za preprodavače SSL-a tvrtke Domain Name API daje vam pristup DV, OV, EV i Wildcard certifikatima po konkurentnim cijenama za preprodavače.

Pogledajte cijene za SSL preprodavače →

Korak 2 — Otvaranje IIS Managera

Na Windows Serveru pritisnite Win + R, upišite inetmgr i pritisnite Enter. Alternativno potražite "IIS" u izborniku Start i odaberite Internet Information Services (IIS) Manager.

Kako instalirati SSL certifikat na IIS-u

ℹ️ Ne možete pronaći IIS Manager? Slijedite ovaj put: Server Manager → Dodaj uloge i značajke → Web Server (IIS). Na Windows desktop verzijama: Upravljačka ploča → Programi → Uključi ili isključi značajke sustava Windows → Internet Information Services.

Korak 3 — Otvaranje Server Certificates

U lijevoj ploči IIS Managera kliknite na naziv svog poslužitelja. U središnjoj glavnoj ploči pronađite ikonu "Server Certificates" i dvaput kliknite na nju.

Kako instalirati SSL certifikat na IIS-u

Korak 4 — Stvaranje CSR-a i učitavanje datoteke certifikata

Ako još niste stvorili CSR, dovršite ovaj korak prije učitavanja datoteke certifikata.

Kako stvoriti CSR

  1. Kliknite na "Create Certificate Request…" u ploči Actions.
  2. Ispunite polja Distinguished Name — Common Name mora se točno podudarati s nazivom domene koju štitite.
  3. Postavite duljinu ključa na 2048 (minimum) ili 4096 za jaču enkripciju.
  4. Spremite .txt datoteku — sadržaj ćete trebati zalijepiti u obrazac narudžbe CA-a.

Vratite se na ovaj korak nakon što CA izda certifikat.

Instalacija certifikata — Complete Certificate Request

Kliknite na "Complete Certificate Request…" u ploči Actions kako biste otvorili čarobnjak za instalaciju.

Kako instalirati SSL certifikat na IIS-u

⚠️ Jeste li stvorili CSR na drugom poslužitelju? Complete Certificate Request neće raditi u tom slučaju. Izvezite .pfx datoteku (PKCS#12) — uključujući privatni ključ — s izvornog poslužitelja i koristite opciju 'Import' u ploči Actions ispod Server Certificates.

Ako prelazite s cPanela, Pleska ili Linux poslužitelja na IIS: ne možete izravno uvesti postojeći certifikat u IIS. Prvo pretvorite certifikat u format .pfx (PKCS#12) pomoću OpenSSL naredbe ili mrežnog PEM→PFX pretvarača, a zatim koristite Server Certificates → Import u IIS-u. OpenSSL naredba je:

openssl pkcs12 -export -out certifikat.pfx -inkey privatni.key -in certifikat.crt -certfile cabundle.crt

Korak 5 — Odabir datoteke certifikata i unos Friendly Name

Otvorit će se prozor "Specify Certificate Authority Response". Ispunite tri polja na sljedeći način:

Polje Što unijeti
File name (.cer) Odaberite svoju .crt datoteku putem gumba "…". IIS prihvaća i ekstenziju .crt i .cer.
Friendly name Kratka oznaka koju ćete prepoznati — npr. primjer.hr-2025. Ovaj naziv ćete odabrati ponovno u koraku 6.
Certificate store Odaberite "Personal". Ako se certifikat ne pojavi nakon toga, isprobajte "Web Hosting".

Kako instalirati SSL certifikat na IIS-u

Kliknite "OK" nakon ispunjavanja svih polja. Certifikat je sada učitan na poslužitelj. Još uvijek ne opslužuje HTTPS promet — to se događa u sljedećem koraku.

Korak 6 — Stvaranje HTTPS Bindinga na portu 443

Certifikat je instaliran, ali IIS još ne zna koja web stranica treba koristiti. Morate stvoriti Binding koji povezuje port 443 s vašom web stranicom i certifikatom.

Desnim klikom kliknite na svoju web stranicu u lijevoj ploči i kliknite na "Edit Bindings…". U prozoru Site Bindings kliknite na "Add".

Kako instalirati SSL certifikat na IIS-u

Polje Vrijednost / Opis
Type https
IP Address All Unassigned — ili specifična IP dodijeljena vašem poslužitelju, ako je primjenjivo
Port 443
Hostname Unesite naziv domene točno onako kako se pojavljuje u certifikatu (npr. www.primjer.hr)
SNI Označite "Require Server Name Indication" ako više stranica dijeli ovu IP adresu
SSL Certificate Odaberite Friendly Name koji ste unijeli u koraku 5

Kako instalirati SSL certifikat na IIS-u

Kliknite "OK" za spremanje. Vaša web stranica sada je dostupna putem HTTPS-a.

Što je SNI i kada ga treba omogućiti?

SNI (Server Name Indication) je TLS proširenje koje omogućuje jednoj IP adresi posluživanje više SSL certifikata — jedan certifikat po hostnameu. Bez SNI-ja, IIS može posluživati samo jedan certifikat po IP adresi bez obzira na hostname.

Omogućite SNI u sljedećim slučajevima: (a) hostirate više HTTPS stranica na jednoj IP adresi poslužitelja, ili (b) vaš poslužitelj se nalazi iza zajedničkog balansatora opterećenja. IIS 7.5 i starije verzije ne podržavaju SNI — za svaku domenu potrebna je zasebna IP. IIS 8 i novije verzije podržavaju SNI izvorno.

Korak 7 — Preusmjeravanje s HTTP-a na HTTPS

Dodavanje HTTPS Bindinga ne preusmjerava automatski http:// promet. Bez preusmjeravanja, neki posjetitelji — i botovi tražilica — nastavit će pristupati nekriptiranoj verziji vaše stranice.

Preusmjeravanje s modulom URL Rewrite za IIS (Preporučeno)

  1. Preuzmite i instalirajte modul URL Rewrite od Microsofta (besplatno, putem Web Platform Installera ili izravnog preuzimanja).
  2. Odaberite svoju stranicu u IIS Manageru i dvaput kliknite na "URL Rewrite".
  3. Odaberite "Add Rule(s)" → "Blank Rule". Nazovite pravilo "HTTP to HTTPS".
  4. Match URL: Pattern = .*
  5. Dodajte uvjet: {HTTPS} odgovara uzorku "^OFF$".
  6. Radnja: Preusmjerite na https://{HTTP_HOST}/{R:0}, Vrsta preusmjeravanja: Trajno (301).

Zašto je ovo važno za SEO i povjerenje korisnika: Google koristi HTTPS kao signal rangiranja od 2014. Konkretnije, Chrome i Edge označavaju svaku HTTP stranicu kao 'Nije sigurno' — to narušava povjerenje korisnika i povećava stopu napuštanja; oboje su neizravni negativni faktori za SEO. Preusmjeravanje 301 također prenosi link equity s HTTP URL-ova na HTTPS verziju.

Korak 8 — Provjera instalacije SSL-a

Ne pretpostavljajte da sve radi — provjerite. Obavite ove tri provjere prije nego smatrate instalaciju završenom:

  • Ikona lokota u pregledniku: Otvorite https://www.primjer.hr u Chromeu ili Edgeu. Ikona lokota u adresnoj traci potvrđuje da je HTTPS aktivan.
  • SSL Checker: Koristite mrežni alat za provjeru SSL-a kako biste verificirali lanac certifikata, datum isteka i izdavatelja.
  • SSL Labs test: Idite na ssllabs.com/ssltest i unesite naziv svoje domene. Ciljajte ocjenu A ili A+ — niža ocjena obično ukazuje na problem s konfiguracijom koji treba riješiti.

✅ Nema ikone lokota? Najčešći razlog je nepotpuni lanac certifikata — posrednički certifikat (CA Bundle) nije instaliran. Instalirajte ga u IIS pohranište certifikata putem certlm.msc s MMC-om, a zatim ponovno pokrenite IIS.