SSL tanúsítvány telepítése IIS-re

Az SSL tanúsítvány IIS-re történő telepítéséhez nyissa meg az IIS Managert, lépjen a Server Certificates részre, és töltse fel a .crt fájlját a Complete Certificate Request lehetőségen keresztül. Ezután kattintson jobb gombbal a webhelyére, válassza az Edit Bindings > Add lehetőséget, és hozzon létre HTTPS-kötést a 443-as porton. A CSR létrehozásától a telepítés ellenőrzéséig a teljes folyamat a legtöbb Windows Server környezetben körülbelül 15 percet vesz igénybe. Ez az útmutató képernyőképekkel magyarázza el minden lépést, és teljes körűen lefedi a leggyakoribb hibákat, valamint a HTTP-ről HTTPS-re való átirányítás konfigurálását.

SSL tanúsítványokat szeretne értékesíteni ügyfeleinek?

A Domain Name API SSL viszonteladói programjával egyetlen API-n keresztül kínálhat DV, OV, EV és Wildcard tanúsítványokat.

SSL viszonteladói megoldások megtekintése →

Mit kell előkészíteni az SSL IIS-re történő telepítése előtt

Mielőtt megnyitná az IIS Managert, győződjön meg arról, hogy az alábbiak mindegyike készen áll. Ha bármelyik elem hiányzik, fennáll a veszélye, hogy a telepítési folyamat közepén megakad.

Követelmény Leírás
Hozzáférés az IIS Managerhez Az Internet Information Services Managernek telepítve kell lennie és futnia kell a Windows Serveren.
Rendszergazdai jogosultságok Tanúsítványok telepítéséhez helyi rendszergazdai vagy tartományi rendszergazdai jogosultságokra van szükség a szerveren. A normál felhasználói fiókok nem tudnak tanúsítványt telepíteni.
CSR (Certificate Signing Request) A 2. lépésben az IIS Manageren keresztül hozzuk létre. A CSR egyben a privát kulcsot is létrehozza — mindkettőnek ugyanazon a szerveren kell maradnia.
SSL tanúsítványfájl (.crt) A CA (hitelesítésszolgáltató) adja ki a domain-ellenőrzés befejezése után.
CA Bundle / Köztes tanúsítvány A CA biztosítja a tanúsítvánnyal együtt. A teljes bizalmi lánc elengedhetetlen feltétele — ne hagyja ki.
Privát kulcs Automatikusan jön létre a CSR IIS-ben való létrehozásakor. A szerveren marad, és nem tölthető le külön fájlként.

⚠️ Ha a CSR-t egy másik szerveren hozta létre, nem használhatja a Complete Certificate Request módszert. Ehelyett exportáljon egy .pfx fájlt (tanúsítvány + privát kulcs együtt) az eredeti szerverről, és használja az IIS 'Import' lehetőségét.

1. lépés — A megfelelő SSL tanúsítvány kiválasztása

Az SSL tanúsítványok nem egységes megoldások. A szükséges típus attól függ, hogy hány domaint kíván biztosítani, és hogy felhasználói milyen szintű személyazonosság-ellenőrzést várnak el.

Típus Mit ellenőriz Kinek ajánlott Példa
DV SSL Csak a domain tulajdonjogát Blog, személyes oldal, kisvállalkozás www.pelda.hu
OV SSL Domain + szervezeti azonosság Vállalati weboldalak, SaaS platformok A cég hivatalos weboldala
EV SSL Kiterjesztett vállalati ellenőrzés E-kereskedelem, pénzügyek — legmagasabb bizalmi szint checkout.pelda.hu
Wildcard SSL Domain + az összes első szintű aldomain Tárhelyszolgáltatók, sok aldomainnel rendelkező struktúrák *.pelda.hu

Tárhelyszolgáltatók és domain viszonteladók számára a Wildcard SSL általában a legjobb praktikus választás — egyetlen tanúsítvány lefedi az összes aldomaint, és nem kell mindegyiket külön megújítani.

SSL-t értékesít ügyfeleinek?

A Domain Name API SSL viszonteladói programja versenyképes viszonteladói árakon biztosít hozzáférést DV, OV, EV és Wildcard tanúsítványokhoz.

SSL viszonteladói árak megtekintése →

2. lépés — Az IIS Manager megnyitása

A Windows Serveren nyomja meg a Win + R billentyűkombinációt, írja be az inetmgr parancsot, majd nyomja meg az Enter billentyűt. Másik lehetőségként keresse meg az "IIS" kifejezést a Start menüben, és válassza az Internet Information Services (IIS) Manager lehetőséget.

SSL tanúsítvány telepítése IIS-re

ℹ️ Nem találja az IIS Managert? Kövesse ezt az útvonalat: Kiszolgáló-kezelő → Szerepkörök és szolgáltatások hozzáadása → Webkiszolgáló (IIS). Windows asztali verziókon: Vezérlőpult → Programok → Windows-összetevők be- vagy kikapcsolása → Internet Information Services.

3. lépés — A Server Certificates megnyitása

Az IIS Manager bal oldali paneljén kattintson a szerver nevére. A középső főpanelen keresse meg a "Server Certificates" ikont, és kattintson rá duplán.

SSL tanúsítvány telepítése IIS-re

4. lépés — CSR létrehozása és a tanúsítványfájl feltöltése

Ha még nem hozott létre CSR-t, végezze el ezt a lépést a tanúsítványfájl feltöltése előtt.

A CSR létrehozása

  1. Kattintson a "Create Certificate Request…" lehetőségre az Actions panelen.
  2. Töltse ki a Distinguished Name mezőket — a Common Name mezőnek pontosan meg kell egyeznie a biztosítani kívánt domain névvel.
  3. A kulcshosszt állítsa 2048-ra (minimum) vagy 4096-ra erősebb titkosítás érdekében.
  4. Mentse el a .txt fájlt — a tartalmát be kell majd illesztenie a CA megrendelési űrlapjába.

Térjen vissza ehhez a lépéshez, miután a CA kiadta a tanúsítványt.

A tanúsítvány telepítése — Complete Certificate Request

Kattintson a "Complete Certificate Request…" lehetőségre az Actions panelen a telepítővarázsló megnyitásához.

SSL tanúsítvány telepítése IIS-re

⚠️ Másik szerveren hozta létre a CSR-t? A Complete Certificate Request ebben az esetben nem működik. Exportáljon .pfx fájlt (PKCS#12) — a privát kulccsal együtt — az eredeti szerverről, és használja az 'Import' lehetőséget a Server Certificates alatti Actions panelen.

Ha cPanelről, Pleskről vagy Linux szerverről vált IIS-re: a meglévő tanúsítványát nem importálhatja közvetlenül az IIS-be. Először konvertálja a tanúsítványt .pfx (PKCS#12) formátumra egy OpenSSL paranccsal vagy online PEM→PFX konverterrel, majd használja a Server Certificates → Import lehetőséget az IIS-ben. Az OpenSSL parancs:

openssl pkcs12 -export -out tanusitvany.pfx -inkey privat.key -in tanusitvany.crt -certfile cabundle.crt

5. lépés — A tanúsítványfájl kiválasztása és a Friendly Name megadása

Megnyílik a "Specify Certificate Authority Response" ablak. Töltse ki a három mezőt az alábbiak szerint:

Mező Mit kell megadni
File name (.cer) Válassza ki a .crt fájlját a "…" gombbal. Az IIS mind a .crt, mind a .cer kiterjesztést elfogadja.
Friendly name Egy rövid azonosító, amelyről felismeri — pl. pelda.hu-2025. Ezt a nevet a 6. lépésben ismét kiválasztja.
Certificate store Válassza a "Personal" lehetőséget. Ha a tanúsítvány ezután nem jelenik meg, próbálja a "Web Hosting" lehetőséget.

SSL tanúsítvány telepítése IIS-re

Az összes mező kitöltése után kattintson az "OK" gombra. A tanúsítvány most feltöltődött a szerverre. Még nem kezeli a HTTPS-forgalmat — ez a következő lépésben történik meg.

6. lépés — HTTPS-kötés létrehozása a 443-as porton

A tanúsítvány telepítve van, de az IIS még nem tudja, melyik webhelynek kell azt használnia. Létre kell hoznia egy kötést, amely összeköti a 443-as portot a webhelyével és a tanúsítvánnyal.

Kattintson jobb gombbal a webhelyére a bal oldali panelen, és kattintson az "Edit Bindings…" lehetőségre. A Site Bindings ablakban kattintson az "Add" gombra.

SSL tanúsítvány telepítése IIS-re

Mező Érték / Leírás
Type https
IP Address All Unassigned — vagy a szerverhez rendelt konkrét IP-cím, ha szükséges
Port 443
Hostname Adja meg a domain nevet pontosan úgy, ahogy a tanúsítványban szerepel (pl. www.pelda.hu)
SNI Jelölje be a "Require Server Name Indication" jelölőnégyzetet, ha több webhely osztozik ezen az IP-címen
SSL Certificate Válassza ki az 5. lépésben megadott Friendly Name-t

SSL tanúsítvány telepítése IIS-re

A mentéshez kattintson az "OK" gombra. Webhelye most HTTPS-en keresztül is elérhető.

Mi az SNI, és mikor kell engedélyezni?

Az SNI (Server Name Indication) egy TLS-bővítmény, amely lehetővé teszi, hogy egyetlen IP-cím több SSL-tanúsítványt szolgáltasson — hostname-enként egyet. SNI nélkül az IIS hostname-től függetlenül csak egy tanúsítványt tud kiszolgálni IP-címenként.

Engedélyezze az SNI-t a következő esetekben: (a) több HTTPS-webhelyet üzemeltet egyetlen szerver IP-címen, vagy (b) a szervere egy megosztott terheléselosztó mögött van. Az IIS 7.5 és korábbi verziók nem támogatják az SNI-t — domainenként külön IP-cím szükséges. Az IIS 8 és újabb verziók natívan támogatják az SNI-t.

7. lépés — HTTP-ről HTTPS-re való átirányítás

A HTTPS-kötés hozzáadása nem irányítja át automatikusan a http:// forgalmat. Átirányítás nélkül egyes látogatók — és keresőmotor-robotok — továbbra is a webhely titkosítatlan verzióját érik el.

Átirányítás az IIS URL Rewrite modullal (ajánlott)

  1. Töltse le és telepítse az URL Rewrite modult a Microsofttól (ingyenes, a Web Platform Installeren vagy közvetlen letöltésen keresztül).
  2. Válassza ki a webhelyét az IIS Managerben, és kattintson duplán az "URL Rewrite" elemre.
  3. Válassza az "Add Rule(s)" → "Blank Rule" lehetőséget. Nevezze el a szabályt "HTTP to HTTPS" névvel.
  4. Match URL: Pattern = .*
  5. Adjon hozzá feltételt: {HTTPS} megegyezik a "^OFF$" mintával.
  6. Művelet: Átirányítás erre: https://{HTTP_HOST}/{R:0}, Átirányítás típusa: Állandó (301).

Miért fontos ez az SEO és a felhasználói bizalom szempontjából: A Google 2014 óta rangsorolási jelként használja a HTTPS-t. Konkrétabban: a Chrome és az Edge minden HTTP-oldalt 'Nem biztonságos' jelzéssel látnak el — ez csökkenti a felhasználók bizalmát és növeli a visszafordulási arányt; mindkettő közvetett negatív SEO-tényező. A 301-es átirányítás emellett az URL-tekből a HTTPS-verzióra is átviszi a linktőkét.

8. lépés — Az SSL-telepítés ellenőrzése

Ne feltételezze, hogy minden működik — ellenőrizze. Végezze el ezt a három ellenőrzést, mielőtt befejezettnek tekintené a telepítést:

  • Lakat ikon a böngészőben: Nyissa meg a https://www.pelda.hu oldalt Chrome-ban vagy Edge-ben. A lakat ikon a címsorban megerősíti, hogy a HTTPS aktív.
  • SSL Checker: Használjon online SSL-ellenőrző eszközt a tanúsítványlánc, a lejárati dátum és a kibocsátó ellenőrzéséhez.
  • SSL Labs teszt: Látogasson el az ssllabs.com/ssltest oldalra, és adja meg a domain nevét. Törekedjen A vagy A+ értékelésre — az ennél alacsonyabb értékelés általában egy konfigurációs problémára utal, amelyet meg kell oldani.

✅ Nincs lakat ikon? A leggyakoribb ok a hiányos tanúsítványlánc — a köztes tanúsítvány (CA Bundle) nincs telepítve. Telepítse az IIS tanúsítványtárába a certlm.msc segítségével az MMC-vel, majd indítsa újra az IIS-t.