Come installare un certificato SSL su IIS
Per installare un certificato SSL su IIS, apri IIS Manager, vai a Server Certificates e carica il tuo file .crt tramite l'opzione Complete Certificate Request. Poi fai clic destro sul tuo sito web, seleziona Edit Bindings > Add e crea un binding HTTPS sulla porta 443. Dalla creazione del CSR alla verifica dell'installazione, l'intero processo richiede circa 15 minuti nella maggior parte degli ambienti Windows Server. Questa guida spiega ogni passaggio con screenshot e tratta in modo completo anche gli errori più comuni e il reindirizzamento da HTTP a HTTPS.
Vuoi vendere certificati SSL ai tuoi clienti?
Con il programma rivenditori SSL di Domain Name API puoi offrire certificati DV, OV, EV e Wildcard tramite un'unica API.
Cosa ti serve prima di iniziare l'installazione SSL su IIS
Prima di aprire IIS Manager, assicurati di avere tutto il seguente pronto. Se manca anche solo uno di questi elementi, rischi di bloccarti a metà del processo di installazione.
| Requisito | Descrizione |
|---|---|
| Accesso a IIS Manager | Internet Information Services Manager deve essere installato e in esecuzione su Windows Server. |
| Diritti di amministratore | Hai bisogno di privilegi di amministratore locale o di dominio sul server per installare i certificati. Gli account utente standard non possono installare certificati. |
| CSR (Certificate Signing Request) | Creato al passaggio 2 tramite IIS Manager. Il CSR genera anche la chiave privata — entrambi devono rimanere sullo stesso server. |
| File del certificato SSL (.crt) | Rilasciato dalla CA (Autorità di Certificazione) dopo il completamento della validazione del dominio. |
| CA Bundle / Certificato intermedio | Fornito dalla CA insieme al certificato. Indispensabile per una catena di fiducia completa — non saltarlo. |
| Chiave privata | Generata automaticamente quando si crea il CSR in IIS. Rimane sul server e non può essere scaricata come file separato. |
⚠️ Se hai creato il CSR su un altro server, non puoi usare il metodo Complete Certificate Request. Esporta invece un file .pfx (certificato + chiave privata insieme) dal server originale e usa l'opzione 'Import' in IIS.
Passaggio 1 — Scegliere il certificato SSL giusto
I certificati SSL non sono una soluzione universale. Il tipo di cui hai bisogno dipende da quanti domini vuoi proteggere e dal livello di verifica dell'identità che i tuoi utenti si aspettano.
| Tipo | Cosa viene validato | Per chi è indicato | Esempio |
|---|---|---|---|
| DV SSL | Solo la proprietà del dominio | Blog, sito personale, piccola impresa | www.esempio.it |
| OV SSL | Dominio + identità dell'organizzazione | Siti aziendali, piattaforme SaaS | Sito web aziendale |
| EV SSL | Validazione aziendale estesa | E-commerce, finanza — livello di fiducia più elevato | checkout.esempio.it |
| Wildcard SSL | Dominio + tutti i sottodomini di primo livello | Provider di hosting, strutture con molti sottodomini | *.esempio.it |
Per i provider di hosting e i rivenditori di domini, il Wildcard SSL è generalmente la scelta più pratica — un unico certificato copre tutti i sottodomini e non è necessario rinnovare ciascuno separatamente.
Vendi SSL ai tuoi clienti?
Il programma rivenditori SSL di Domain Name API ti dà accesso ai certificati DV, OV, EV e Wildcard a prezzi competitivi per rivenditori.
Passaggio 2 — Aprire IIS Manager
Su Windows Server premi Win + R, digita inetmgr e premi Invio. In alternativa, cerca "IIS" nel menu Start e seleziona Internet Information Services (IIS) Manager.

ℹ️ IIS Manager non trovato? Segui questo percorso: Server Manager → Aggiungi ruoli e funzionalità → Web Server (IIS). Sulle versioni desktop di Windows: Pannello di controllo → Programmi → Attiva o disattiva funzionalità di Windows → Internet Information Services.
Passaggio 3 — Aprire Server Certificates
Nel pannello sinistro di IIS Manager, clicca sul nome del tuo server. Nel pannello centrale, trova l'icona "Server Certificates" e fai doppio clic su di essa.

Passaggio 4 — Creare il CSR e caricare il file del certificato
Se non hai ancora creato un CSR, completa questo passaggio prima di caricare il file del certificato.
Come creare un CSR
- Clicca su "Create Certificate Request…" nel pannello Actions.
- Compila i campi Distinguished Name — il Common Name deve corrispondere esattamente al nome di dominio da proteggere.
- Imposta la lunghezza della chiave a 2048 (minimo) o 4096 per una crittografia più robusta.
- Salva il file .txt — dovrai incollare il contenuto nel modulo d'ordine della CA.
Torna a questo passaggio una volta che la CA ha emesso il certificato.
Installare il certificato — Complete Certificate Request
Clicca su "Complete Certificate Request…" nel pannello Actions per aprire il wizard di installazione.

⚠️ Hai creato il CSR su un altro server? Complete Certificate Request non funzionerà in questo caso. Esporta un file .pfx (PKCS#12) — chiave privata inclusa — dal server originale e usa l'opzione 'Import' nel pannello Actions sotto Server Certificates.
Se stai migrando da cPanel, Plesk o un server Linux a IIS: non puoi importare direttamente il tuo certificato esistente in IIS. Converti prima il certificato nel formato .pfx (PKCS#12) con un comando OpenSSL o un convertitore PEM→PFX online, poi usa Server Certificates → Import in IIS. Il comando OpenSSL è:
openssl pkcs12 -export -out certificato.pfx -inkey privato.key -in certificato.crt -certfile cabundle.crt
Passaggio 5 — Selezionare il file del certificato e inserire il Friendly Name
Si apre la finestra "Specify Certificate Authority Response". Compila i tre campi come segue:
| Campo | Cosa inserire |
|---|---|
| File name (.cer) | Seleziona il tuo file .crt tramite il pulsante "…". IIS accetta sia l'estensione .crt che .cer. |
| Friendly name | Un'etichetta breve che riconoscerai — es. esempio.it-2025. Selezionerai questo nome al passaggio 6. |
| Certificate store | Seleziona "Personal". Se il certificato non appare dopo, prova "Web Hosting". |

Clicca su "OK" dopo aver compilato tutti i campi. Il certificato è ora caricato sul server. Non gestisce ancora il traffico HTTPS — questo avviene nel passaggio successivo.
Passaggio 6 — Creare un binding HTTPS sulla porta 443
Il certificato è installato, ma IIS non sa ancora quale sito web deve usarlo. Devi creare un binding che colleghi la porta 443 al tuo sito e al tuo certificato.
Fai clic destro sul tuo sito web nel pannello sinistro e clicca su "Edit Bindings…". Nella finestra Site Bindings, clicca su "Add".

| Campo | Valore / Descrizione |
|---|---|
| Type | https |
| IP Address | All Unassigned — oppure l'IP specifico assegnato al tuo server, se applicabile |
| Port | 443 |
| Hostname | Inserisci il nome di dominio esattamente come appare nel certificato (es. www.esempio.it) |
| SNI | Spunta "Require Server Name Indication" se più siti condividono questo indirizzo IP |
| SSL Certificate | Seleziona il Friendly Name inserito al passaggio 5 |

Clicca su "OK" per salvare. Il tuo sito è ora accessibile tramite HTTPS.
Cos'è SNI e quando abilitarlo?
SNI (Server Name Indication) è un'estensione TLS che consente a un singolo indirizzo IP di servire più certificati SSL — un certificato per ogni hostname. Senza SNI, IIS può servire un solo certificato per indirizzo IP, indipendentemente dall'hostname.
Abilita SNI nei seguenti casi: (a) ospiti più siti HTTPS su un unico IP del server, oppure (b) il tuo server si trova dietro un load balancer condiviso. IIS 7.5 e versioni precedenti non supportano SNI — è richiesto un IP separato per ogni dominio. IIS 8 e versioni successive supportano SNI nativamente.
Passaggio 7 — Reindirizzamento da HTTP a HTTPS
Aggiungere un binding HTTPS non reindirizza automaticamente il traffico http://. Senza reindirizzamento, alcuni visitatori — e i bot dei motori di ricerca — continueranno ad accedere alla versione non cifrata del tuo sito.
Reindirizzamento con il modulo URL Rewrite di IIS (consigliato)
- Scarica e installa il modulo URL Rewrite da Microsoft (gratuito, tramite Web Platform Installer o download diretto).
- Seleziona il tuo sito in IIS Manager e fai doppio clic su "URL Rewrite".
- Scegli "Add Rule(s)" → "Blank Rule". Nomina la regola "HTTP to HTTPS".
- Match URL: Pattern = .*
- Aggiungi una condizione: {HTTPS} corrisponde al pattern "^OFF$".
- Azione: Reindirizza a https://{HTTP_HOST}/{R:0}, Tipo di reindirizzamento: Permanente (301).
Perché è importante per SEO e fiducia degli utenti: Google usa HTTPS come segnale di ranking dal 2014. Più concretamente, Chrome ed Edge contrassegnano ogni pagina HTTP come 'Non sicuro' — il che erode la fiducia degli utenti e aumenta la frequenza di rimbalzo; entrambi fattori SEO negativi indiretti. Un reindirizzamento 301 trasferisce inoltre la link equity dagli URL HTTP alla versione HTTPS.
Passaggio 8 — Verificare l'installazione SSL
Non dare per scontato che tutto funzioni — verificalo. Esegui questi tre controlli prima di considerare l'installazione completata:
- Icona del lucchetto nel browser: Apri https://www.esempio.it in Chrome o Edge. L'icona del lucchetto nella barra degli indirizzi conferma che HTTPS è attivo.
- SSL Checker: Usa uno strumento SSL checker online per verificare la catena di certificati, la data di scadenza e l'emittente.
- Test SSL Labs: Vai su ssllabs.com/ssltest e inserisci il tuo nome di dominio. Punta al voto A o A+ — un voto inferiore indica di solito un problema di configurazione da risolvere.
✅ Nessun lucchetto? La causa più comune è una catena di certificati incompleta — il certificato intermedio (CA Bundle) non è installato. Installalo nell'archivio certificati IIS tramite certlm.msc con MMC, poi riavvia IIS.
