Kako instalirati SSL certifikat na IIS-u
Za instalaciju SSL certifikata na IIS-u otvorite IIS Manager, idite na Server Certificates i učitajte svoju .crt datoteku putem opcije Complete Certificate Request. Zatim desnim klikom kliknite na svoju web stranicu, odaberite Edit Bindings > Add i stvorite HTTPS Binding na portu 443. Od stvaranja CSR-a do provjere instalacije, cijeli postupak traje oko 15 minuta u većini Windows Server okruženja. Ovaj vodič objašnjava svaki korak sa snimkama zaslona i potpuno pokriva najčešće pogreške te konfiguraciju preusmjeravanja s HTTP-a na HTTPS.
Želite li prodavati SSL certifikate svojim klijentima?
S programom za preprodavače SSL-a tvrtke Domain Name API možete nuditi DV, OV, EV i Wildcard certifikate putem jednog API-ja.
Što je potrebno pripremiti prije instalacije SSL-a na IIS-u
Prije otvaranja IIS Managera provjerite jesu li sve sljedeće stavke spremne. Ako nedostaje bilo koja od njih, možete se zaglaviti usred procesa instalacije.
| Zahtjev | Opis |
|---|---|
| Pristup IIS Manageru | Internet Information Services Manager mora biti instaliran i pokrenut na Windows Serveru. |
| Administratorska prava | Za instalaciju certifikata potrebna su prava lokalnog administratora ili administratora domene na poslužitelju. Standardni korisnički računi ne mogu instalirati certifikate. |
| CSR (Zahtjev za potpisivanje certifikata) | Stvara se u koraku 2 putem IIS Managera. CSR također generira privatni ključ — oba moraju ostati na istom poslužitelju. |
| Datoteka SSL certifikata (.crt) | Izdaje je CA (Tijelo za certifikaciju) nakon završetka provjere domene. |
| CA Bundle / Posrednički certifikat | Pruža ga CA zajedno s certifikatom. Obavezan je za potpuni lanac povjerenja — nemojte ga preskočiti. |
| Privatni ključ | Automatski se generira pri stvaranju CSR-a u IIS-u. Ostaje na poslužitelju i ne može se preuzeti kao zasebna datoteka. |
⚠️ Ako ste CSR stvorili na drugom poslužitelju, ne možete koristiti metodu Complete Certificate Request. Umjesto toga izvezite .pfx datoteku (certifikat + privatni ključ zajedno) s izvornog poslužitelja i koristite opciju 'Import' u IIS-u.
Korak 1 — Odabir pravog SSL certifikata
SSL certifikati nisu jedinstveno rješenje za sve. Vrsta koja vam je potrebna ovisi o broju domena koje želite zaštititi i razini provjere identiteta koju vaši korisnici očekuju.
| Vrsta | Što se provjerava | Za koga je prikladno | Primjer |
|---|---|---|---|
| DV SSL | Samo vlasništvo domene | Blog, osobna stranica, malo poduzeće | www.primjer.hr |
| OV SSL | Domena + identitet organizacije | Korporativne stranice, SaaS platforme | Službena web stranica tvrtke |
| EV SSL | Proširena provjera tvrtke | E-trgovina, financije — najviša razina povjerenja | checkout.primjer.hr |
| Wildcard SSL | Domena + sve poddomene prve razine | Pružatelji hostinga, strukture s mnogim poddomenama | *.primjer.hr |
Za pružatelje hostinga i preprodavače domena, Wildcard SSL obično je najpraktičniji izbor — jedan certifikat pokriva sve poddomene i nije potrebno obnavljati svaku zasebno.
Prodajete li SSL svojim klijentima?
Program za preprodavače SSL-a tvrtke Domain Name API daje vam pristup DV, OV, EV i Wildcard certifikatima po konkurentnim cijenama za preprodavače.
Korak 2 — Otvaranje IIS Managera
Na Windows Serveru pritisnite Win + R, upišite inetmgr i pritisnite Enter. Alternativno potražite "IIS" u izborniku Start i odaberite Internet Information Services (IIS) Manager.

ℹ️ Ne možete pronaći IIS Manager? Slijedite ovaj put: Server Manager → Dodaj uloge i značajke → Web Server (IIS). Na Windows desktop verzijama: Upravljačka ploča → Programi → Uključi ili isključi značajke sustava Windows → Internet Information Services.
Korak 3 — Otvaranje Server Certificates
U lijevoj ploči IIS Managera kliknite na naziv svog poslužitelja. U središnjoj glavnoj ploči pronađite ikonu "Server Certificates" i dvaput kliknite na nju.

Korak 4 — Stvaranje CSR-a i učitavanje datoteke certifikata
Ako još niste stvorili CSR, dovršite ovaj korak prije učitavanja datoteke certifikata.
Kako stvoriti CSR
- Kliknite na "Create Certificate Request…" u ploči Actions.
- Ispunite polja Distinguished Name — Common Name mora se točno podudarati s nazivom domene koju štitite.
- Postavite duljinu ključa na 2048 (minimum) ili 4096 za jaču enkripciju.
- Spremite .txt datoteku — sadržaj ćete trebati zalijepiti u obrazac narudžbe CA-a.
Vratite se na ovaj korak nakon što CA izda certifikat.
Instalacija certifikata — Complete Certificate Request
Kliknite na "Complete Certificate Request…" u ploči Actions kako biste otvorili čarobnjak za instalaciju.

⚠️ Jeste li stvorili CSR na drugom poslužitelju? Complete Certificate Request neće raditi u tom slučaju. Izvezite .pfx datoteku (PKCS#12) — uključujući privatni ključ — s izvornog poslužitelja i koristite opciju 'Import' u ploči Actions ispod Server Certificates.
Ako prelazite s cPanela, Pleska ili Linux poslužitelja na IIS: ne možete izravno uvesti postojeći certifikat u IIS. Prvo pretvorite certifikat u format .pfx (PKCS#12) pomoću OpenSSL naredbe ili mrežnog PEM→PFX pretvarača, a zatim koristite Server Certificates → Import u IIS-u. OpenSSL naredba je:
openssl pkcs12 -export -out certifikat.pfx -inkey privatni.key -in certifikat.crt -certfile cabundle.crt
Korak 5 — Odabir datoteke certifikata i unos Friendly Name
Otvorit će se prozor "Specify Certificate Authority Response". Ispunite tri polja na sljedeći način:
| Polje | Što unijeti |
|---|---|
| File name (.cer) | Odaberite svoju .crt datoteku putem gumba "…". IIS prihvaća i ekstenziju .crt i .cer. |
| Friendly name | Kratka oznaka koju ćete prepoznati — npr. primjer.hr-2025. Ovaj naziv ćete odabrati ponovno u koraku 6. |
| Certificate store | Odaberite "Personal". Ako se certifikat ne pojavi nakon toga, isprobajte "Web Hosting". |

Kliknite "OK" nakon ispunjavanja svih polja. Certifikat je sada učitan na poslužitelj. Još uvijek ne opslužuje HTTPS promet — to se događa u sljedećem koraku.
Korak 6 — Stvaranje HTTPS Bindinga na portu 443
Certifikat je instaliran, ali IIS još ne zna koja web stranica treba koristiti. Morate stvoriti Binding koji povezuje port 443 s vašom web stranicom i certifikatom.
Desnim klikom kliknite na svoju web stranicu u lijevoj ploči i kliknite na "Edit Bindings…". U prozoru Site Bindings kliknite na "Add".

| Polje | Vrijednost / Opis |
|---|---|
| Type | https |
| IP Address | All Unassigned — ili specifična IP dodijeljena vašem poslužitelju, ako je primjenjivo |
| Port | 443 |
| Hostname | Unesite naziv domene točno onako kako se pojavljuje u certifikatu (npr. www.primjer.hr) |
| SNI | Označite "Require Server Name Indication" ako više stranica dijeli ovu IP adresu |
| SSL Certificate | Odaberite Friendly Name koji ste unijeli u koraku 5 |

Kliknite "OK" za spremanje. Vaša web stranica sada je dostupna putem HTTPS-a.
Što je SNI i kada ga treba omogućiti?
SNI (Server Name Indication) je TLS proširenje koje omogućuje jednoj IP adresi posluživanje više SSL certifikata — jedan certifikat po hostnameu. Bez SNI-ja, IIS može posluživati samo jedan certifikat po IP adresi bez obzira na hostname.
Omogućite SNI u sljedećim slučajevima: (a) hostirate više HTTPS stranica na jednoj IP adresi poslužitelja, ili (b) vaš poslužitelj se nalazi iza zajedničkog balansatora opterećenja. IIS 7.5 i starije verzije ne podržavaju SNI — za svaku domenu potrebna je zasebna IP. IIS 8 i novije verzije podržavaju SNI izvorno.
Korak 7 — Preusmjeravanje s HTTP-a na HTTPS
Dodavanje HTTPS Bindinga ne preusmjerava automatski http:// promet. Bez preusmjeravanja, neki posjetitelji — i botovi tražilica — nastavit će pristupati nekriptiranoj verziji vaše stranice.
Preusmjeravanje s modulom URL Rewrite za IIS (Preporučeno)
- Preuzmite i instalirajte modul URL Rewrite od Microsofta (besplatno, putem Web Platform Installera ili izravnog preuzimanja).
- Odaberite svoju stranicu u IIS Manageru i dvaput kliknite na "URL Rewrite".
- Odaberite "Add Rule(s)" → "Blank Rule". Nazovite pravilo "HTTP to HTTPS".
- Match URL: Pattern = .*
- Dodajte uvjet: {HTTPS} odgovara uzorku "^OFF$".
- Radnja: Preusmjerite na https://{HTTP_HOST}/{R:0}, Vrsta preusmjeravanja: Trajno (301).
Zašto je ovo važno za SEO i povjerenje korisnika: Google koristi HTTPS kao signal rangiranja od 2014. Konkretnije, Chrome i Edge označavaju svaku HTTP stranicu kao 'Nije sigurno' — to narušava povjerenje korisnika i povećava stopu napuštanja; oboje su neizravni negativni faktori za SEO. Preusmjeravanje 301 također prenosi link equity s HTTP URL-ova na HTTPS verziju.
Korak 8 — Provjera instalacije SSL-a
Ne pretpostavljajte da sve radi — provjerite. Obavite ove tri provjere prije nego smatrate instalaciju završenom:
- Ikona lokota u pregledniku: Otvorite https://www.primjer.hr u Chromeu ili Edgeu. Ikona lokota u adresnoj traci potvrđuje da je HTTPS aktivan.
- SSL Checker: Koristite mrežni alat za provjeru SSL-a kako biste verificirali lanac certifikata, datum isteka i izdavatelja.
- SSL Labs test: Idite na ssllabs.com/ssltest i unesite naziv svoje domene. Ciljajte ocjenu A ili A+ — niža ocjena obično ukazuje na problem s konfiguracijom koji treba riješiti.
✅ Nema ikone lokota? Najčešći razlog je nepotpuni lanac certifikata — posrednički certifikat (CA Bundle) nije instaliran. Instalirajte ga u IIS pohranište certifikata putem certlm.msc s MMC-om, a zatim ponovno pokrenite IIS.
