IISにSSL証明書をインストールする方法
IISにSSL証明書をインストールするには、IISマネージャーを開き、Server Certificatesに移動して、Complete Certificate Requestオプションから.crtファイルをアップロードします。次に、Webサイトを右クリックしてEdit Bindings > Addを選択し、ポート443でHTTPSバインディングを作成します。CSRの作成から設置の確認まで、ほとんどのWindows Server環境で全体の作業は約15分で完了します。このガイドでは各ステップをスクリーンショット付きで詳しく説明し、よくあるエラーやHTTPからHTTPSへのリダイレクト設定についても完全に網羅しています。
お客様にSSL証明書を販売しませんか?
Domain Name APIのSSL再販プログラムを使えば、DV・OV・EV・Wildcard証明書を単一のAPIで提供できます。
IISでSSLをインストールする前に準備すること
IISマネージャーを開く前に、以下のものがすべて揃っていることを確認してください。いずれかが欠けていると、インストール作業の途中で詰まる恐れがあります。
| 必要事項 | 説明 |
|---|---|
| IISマネージャーへのアクセス | Internet Information Services マネージャーがWindows Serverにインストールされ、動作している必要があります。 |
| 管理者権限 | 証明書をインストールするには、サーバー上のローカル管理者またはドメイン管理者の権限が必要です。標準ユーザーアカウントでは証明書をインストールできません。 |
| CSR(証明書署名要求) | ステップ2でIISマネージャーから作成します。CSRは秘密鍵も同時に生成します——両者は必ず同じサーバー上に保持してください。 |
| SSL証明書ファイル(.crt) | ドメイン検証が完了した後、CA(認証局)から発行されます。 |
| CA Bundle / 中間証明書 | CAから証明書と一緒に提供されます。完全な信頼チェーンに不可欠です——省略しないでください。 |
| 秘密鍵 | IISでCSRを作成する際に自動生成されます。サーバー上に保持され、個別ファイルとしてダウンロードすることはできません。 |
⚠️ 別のサーバーでCSRを作成した場合、Complete Certificate Requestの方法は使用できません。代わりに元のサーバーから.pfxファイル(証明書+秘密鍵を統合)をエクスポートし、IISの「Import」オプションを使用してください。
ステップ1 — 適切なSSL証明書を選ぶ
SSL証明書はすべての状況に対応できる万能なソリューションではありません。必要なタイプは、保護するドメインの数やユーザーが期待する本人確認のレベルによって異なります。
| 種類 | 検証内容 | 適しているケース | 例 |
|---|---|---|---|
| DV SSL | ドメイン所有権のみ | ブログ、個人サイト、中小企業 | www.example.jp |
| OV SSL | ドメイン+組織の実在性 | 企業サイト、SaaSプラットフォーム | 企業公式サイト |
| EV SSL | 企業の厳格な実在確認 | EC・金融——最高レベルの信頼性 | checkout.example.jp |
| Wildcard SSL | ドメイン+第1レベルのすべてのサブドメイン | ホスティング事業者、多数のサブドメインを持つ構成 | *.example.jp |
ホスティング事業者やドメイン再販業者にとって、Wildcard SSLは通常もっとも実用的な選択肢です——1枚の証明書ですべてのサブドメインをカバーでき、それぞれを個別に更新する必要がありません。
ステップ2 — IISマネージャーを開く
Windows Serverで Win + R を押し、inetmgrと入力してEnterを押します。または、スタートメニューで「IIS」と検索し、Internet Information Services (IIS) Manager を選択します。

ℹ️ IISマネージャーが見つからない場合は、以下の手順で確認してください:サーバーマネージャー → 役割と機能の追加 → Web サーバー(IIS)。Windowsデスクトップ版の場合:コントロールパネル → プログラム → Windowsの機能の有効化または無効化 → Internet Information Services。
ステップ3 — Server Certificatesを開く
IISマネージャーの左側パネルでサーバー名をクリックします。中央のメインパネルで「Server Certificates」アイコンを見つけ、ダブルクリックします。

ステップ4 — CSRを作成して証明書ファイルをアップロードする
まだCSRを作成していない場合は、証明書ファイルをアップロードする前にこのステップを完了してください。
CSRの作成方法
- Actionsパネルで「Create Certificate Request…」をクリックします。
- Distinguished Nameのフィールドを入力します——Common Nameは保護するドメイン名と完全に一致させてください。
- 鍵長を2048(最低限)または4096(より強固な暗号化)に設定します。
- .txtファイルを保存します——その内容をCAの申請フォームに貼り付けます。
CAが証明書を発行したら、このステップに戻って作業を続けます。
証明書のインストール — Complete Certificate Request
Actionsパネルで「Complete Certificate Request…」をクリックし、インストールウィザードを開きます。

⚠️ 別のサーバーでCSRを作成しましたか?その場合、Complete Certificate Requestは機能しません。元のサーバーから.pfxファイル(PKCS#12)——秘密鍵を含む——をエクスポートし、Server CertificatesのActionsパネルにある「Import」オプションを使用してください。
cPanel・Plesk・LinuxサーバーからIISへ移行する場合:既存の証明書をIISに直接インポートすることはできません。まずOpenSSLコマンドまたはオンラインのPEM→PFX変換ツールを使って証明書を.pfx(PKCS#12)形式に変換し、IISのServer Certificates → Importを使用してください。OpenSSLコマンドは次のとおりです:
openssl pkcs12 -export -out shomeisho.pfx -inkey himitsukey.key -in shomeisho.crt -certfile cabundle.crt
ステップ5 — 証明書ファイルを選択してFriendly Nameを入力する
「Specify Certificate Authority Response」ウィンドウが開きます。3つのフィールドを以下のように入力します:
| フィールド | 入力内容 |
|---|---|
| File name (.cer) | 「…」ボタンから.crtファイルを選択します。IISは.crtと.cerの両方の拡張子を受け付けます。 |
| Friendly name | 後で識別しやすい短い名前——例:example.jp-2025。ステップ6でこの名前を再度選択します。 |
| Certificate store | 「Personal」を選択します。その後証明書が表示されない場合は「Web Hosting」をお試しください。 |

すべてのフィールドを入力したら「OK」をクリックします。証明書がサーバーにアップロードされました。まだHTTPSトラフィックには対応していません——次のステップで設定します。
ステップ6 — ポート443でHTTPSバインディングを作成する
証明書はインストールされましたが、IISはどのWebサイトがその証明書を使用すべきかをまだ認識していません。ポート443をWebサイトと証明書に紐付けるバインディングを作成する必要があります。
左側パネルのWebサイトを右クリックし、「Edit Bindings…」をクリックします。Site Bindingsウィンドウで「Add」をクリックします。

| フィールド | 値 / 説明 |
|---|---|
| Type | https |
| IP Address | All Unassigned——または該当する場合はサーバーに割り当てられた特定のIP |
| Port | 443 |
| Hostname | 証明書に記載されている通りのドメイン名を入力します(例:www.example.jp) |
| SNI | 複数のサイトがこのIPアドレスを共有している場合は「Require Server Name Indication」にチェックを入れます |
| SSL Certificate | ステップ5で入力したFriendly Nameを選択します |

「OK」をクリックして保存します。WebサイトがHTTPSで利用可能になりました。
SNIとは何か、いつ有効にすべきか
SNI(Server Name Indication)は、1つのIPアドレスで複数のSSL証明書を提供できるようにするTLS拡張機能です——ホスト名ごとに1枚の証明書を割り当てます。SNIがない場合、IISはホスト名に関わらず1つのIPアドレスにつき1枚の証明書しか提供できません。
次の場合にSNIを有効にします:(a) 1つのサーバーIPで複数のHTTPSサイトをホストしている場合、または(b) サーバーが共有ロードバランサーの背後にある場合。IIS 7.5以前はSNIをサポートしていません——ドメインごとに個別のIPが必要です。IIS 8以降はSNIをネイティブでサポートしています。
ステップ7 — HTTPからHTTPSへのリダイレクト
HTTPSバインディングを追加しても、http://トラフィックが自動的にリダイレクトされるわけではありません。リダイレクトがなければ、一部の訪問者——および検索エンジンのクローラー——は引き続き暗号化されていないバージョンのサイトにアクセスし続けます。
IISのURL Rewriteモジュールを使ったリダイレクト(推奨)
- MicrosoftのURL Rewriteモジュールをダウンロードしてインストールします(無料、Web Platform Installerまたは直接ダウンロードで入手可能)。
- IISマネージャーでサイトを選択し、「URL Rewrite」をダブルクリックします。
- 「Add Rule(s)」→「Blank Rule」を選択します。ルール名を「HTTP to HTTPS」とします。
- Match URL:Pattern = .*
- 条件を追加:{HTTPS}がパターン「^OFF$」と一致する。
- アクション:https://{HTTP_HOST}/{R:0}にリダイレクト、リダイレクトの種類:恒久的(301)。
これがSEOとユーザー信頼性にとって重要な理由:Googleは2014年からHTTPSをランキングシグナルとして使用しています。具体的には、ChromeとEdgeがすべてのHTTPページを「保護されていない通信」としてマークします——これによりユーザーの信頼が低下し、直帰率が上がります。どちらもSEOにとって間接的なマイナス要因です。また301リダイレクトはHTTP URLからHTTPSバージョンへリンクエクイティを引き継ぎます。
ステップ8 — SSLのインストールを確認する
正常に動作していると思い込まず、必ず確認してください。インストール完了とみなす前に、以下の3つのチェックを実施します:
- ブラウザの鍵マーク:ChromeまたはEdgeでhttps://www.example.jpを開きます。アドレスバーの鍵アイコンがHTTPSが有効であることを確認します。
- SSL Checker:オンラインのSSLチェックツールを使って、証明書チェーン・有効期限・発行者を確認します。
- SSL Labsテスト:ssllabs.com/ssltestにアクセスしてドメイン名を入力します。AまたはA+の評価を目指してください——それ以下の評価は通常、修正が必要な設定上の問題を示しています。
✅ 鍵マークが表示されない場合は?最も多い原因は証明書チェーンの不完全さです——中間証明書(CA Bundle)がインストールされていません。certlm.mscとMMCを使ってIIS証明書ストアにインストールした後、IISを再起動してください。
