Kaip įdiegti SSL sertifikatą IIS serveryje
Norėdami įdiegti SSL sertifikatą IIS serveryje, atidarykite IIS Manager, eikite į Server Certificates ir įkelkite savo .crt failą naudodami Complete Certificate Request parinktį. Tada dešiniuoju pelės mygtuku spustelėkite savo svetainę, pasirinkite Edit Bindings > Add ir sukurkite HTTPS susiejimą 443 prievade. Nuo CSR sukūrimo iki diegimo patikrinimo visas procesas daugelyje Windows Server aplinkų trunka apie 15 minučių. Šis vadovas ekrano kopijomis paaiškina kiekvieną žingsnį ir visiškai apima dažniausiai pasitaikančias klaidas bei HTTP į HTTPS peradresavimo konfigūraciją.
Norite parduoti SSL sertifikatus savo klientams?
Su Domain Name API SSL perpardavėjų programa galite siūlyti DV, OV, EV ir Wildcard sertifikatus per vieną API.
Ką reikia paruošti prieš diegiant SSL IIS serveryje
Prieš atidarydami IIS Manager įsitikinkite, kad viskas žemiau išvardyta yra paruošta. Jei kurio nors elemento trūksta, galite įstrigti diegimo proceso viduryje.
| Reikalavimas | Aprašymas |
|---|---|
| Prieiga prie IIS Manager | Internet Information Services Manager turi būti įdiegtas ir veikti Windows Server sistemoje. |
| Administratoriaus teisės | Sertifikatams diegti reikalingos vietinio administratoriaus arba domeno administratoriaus teisės serveryje. Standartinės vartotojo paskyros negali diegti sertifikatų. |
| CSR (Certificate Signing Request) | Sukuriamas 2 žingsnyje per IIS Manager. CSR taip pat sugeneruoja privatų raktą — abu turi likti tame pačiame serveryje. |
| SSL sertifikato failas (.crt) | Išduodamas CA (sertifikavimo institucijos) po domeno patikrinimo užbaigimo. |
| CA Bundle / Tarpinis sertifikatas | Pateikiamas CA kartu su sertifikatu. Būtinas visiškai pasitikėjimo grandinei — nepraleiskite šio žingsnio. |
| Privatus raktas | Automatiškai sugeneruojamas kuriant CSR IIS sistemoje. Lieka serveryje ir negali būti atsisiųstas kaip atskiras failas. |
⚠️ Jei CSR sukūrėte kitame serveryje, negalite naudoti Complete Certificate Request metodo. Vietoje to eksportuokite .pfx failą (sertifikatas + privatus raktas kartu) iš originalaus serverio ir naudokite IIS 'Import' parinktį.
1 žingsnis — Tinkamo SSL sertifikato pasirinkimas
SSL sertifikatai nėra universalus sprendimas visiems. Jums reikalingas tipas priklauso nuo domenų, kuriuos norite apsaugoti, skaičiaus ir tapatybės patikrinimo lygio, kurio tikisi jūsų vartotojai.
| Tipas | Kas tikrinama | Kam tinka | Pavyzdys |
|---|---|---|---|
| DV SSL | Tik domeno nuosavybė | Tinklaraštis, asmeninė svetainė, mažas verslas | www.pavyzdys.lt |
| OV SSL | Domenas + organizacijos tapatybė | Įmonių svetainės, SaaS platformos | Oficiali įmonės svetainė |
| EV SSL | Išplėstinis įmonės patikrinimas | El. prekyba, finansai — aukščiausias pasitikėjimo lygis | checkout.pavyzdys.lt |
| Wildcard SSL | Domenas + visi pirmojo lygio subdomenai | Prieglobos paslaugų teikėjai, struktūros su daugeliu subdomenų | *.pavyzdys.lt |
Prieglobos paslaugų teikėjams ir domenų perpardavėjams Wildcard SSL paprastai yra praktiškiausias pasirinkimas — vienas sertifikatas apima visus subdomenus ir nereikia kiekvieno atnaujinti atskirai.
Parduodate SSL savo klientams?
Domain Name API SSL perpardavėjų programa suteikia jums prieigą prie DV, OV, EV ir Wildcard sertifikatų konkurencingomis perpardavėjų kainomis.
2 žingsnis — IIS Manager atidarymas
Windows Server sistemoje paspauskite Win + R, įveskite inetmgr ir paspauskite Enter. Arba ieškokite "IIS" meniu Pradžia ir pasirinkite Internet Information Services (IIS) Manager.

ℹ️ Nerandate IIS Manager? Vadovaukitės šiuo keliu: Serverio tvarkyklė → Pridėti vaidmenis ir funkcijas → Žiniatinklio serveris (IIS). „Windows" darbalaukio versijose: Valdymo skydas → Programos → Įjungti arba išjungti „Windows" funkcijas → Internet Information Services.
3 žingsnis — Server Certificates atidarymas
IIS Manager kairiojoje srityje spustelėkite savo serverio pavadinimą. Centrinėje pagrindinėje srityje raskite "Server Certificates" piktogramą ir dukart spustelėkite ją.

4 žingsnis — CSR kūrimas ir sertifikato failo įkėlimas
Jei dar nesukūrėte CSR, atlikite šį žingsnį prieš įkeldami sertifikato failą.
Kaip sukurti CSR
- Actions srityje spustelėkite "Create Certificate Request…".
- Užpildykite Distinguished Name laukus — Common Name turi tiksliai atitikti apsaugomo domeno pavadinimą.
- Raktų ilgį nustatykite į 2048 (mažiausia) arba 4096 stipresniam šifravimui.
- Išsaugokite .txt failą — jo turinį reikės įklijuoti į CA užsakymo formą.
Grįžkite prie šio žingsnio, kai CA išduos sertifikatą.
Sertifikato diegimas — Complete Certificate Request
Actions srityje spustelėkite "Complete Certificate Request…", kad atidarytumėte diegimo vedlį.

⚠️ CSR sukūrėte kitame serveryje? Tokiu atveju Complete Certificate Request neveiks. Eksportuokite .pfx failą (PKCS#12) — įskaitant privatų raktą — iš originalaus serverio ir naudokite 'Import' parinktį Server Certificates skilties Actions srityje.
Jei perkeliate iš cPanel, Plesk ar Linux serverio į IIS: negalite tiesiogiai importuoti esamo sertifikato į IIS. Pirmiausia konvertuokite sertifikatą į .pfx (PKCS#12) formatą naudodami OpenSSL komandą arba internetinį PEM→PFX keitiklį, tada naudokite Server Certificates → Import IIS sistemoje. OpenSSL komanda yra:
openssl pkcs12 -export -out sertifikatas.pfx -inkey privatus.key -in sertifikatas.crt -certfile cabundle.crt
5 žingsnis — Sertifikato failo pasirinkimas ir Friendly Name įvedimas
Atsidarys langas "Specify Certificate Authority Response". Užpildykite tris laukus taip:
| Laukas | Ką įvesti |
|---|---|
| File name (.cer) | Pasirinkite .crt failą naudodami "…" mygtuką. IIS priima tiek .crt, tiek .cer plėtinius. |
| Friendly name | Trumpas žymos pavadinimas, kurį atpažinsite — pvz. pavyzdys.lt-2025. Šį pavadinimą pasirinksite dar kartą 6 žingsnyje. |
| Certificate store | Pasirinkite "Personal". Jei sertifikatas vėliau neatsiras, išbandykite "Web Hosting". |

Užpildę visus laukus spustelėkite "OK". Sertifikatas dabar įkeltas į serverį. Jis dar neaptarnauja HTTPS srauto — tai įvyks kitame žingsnyje.
6 žingsnis — HTTPS susiejimo kūrimas 443 prievade
Sertifikatas įdiegtas, tačiau IIS dar nežino, kuri svetainė turi jį naudoti. Turite sukurti susiejimą, kuris sujungs 443 prievadą su jūsų svetaine ir sertifikatu.
Dešiniuoju pelės mygtuku spustelėkite savo svetainę kairiojoje srityje ir spustelėkite "Edit Bindings…". Site Bindings lange spustelėkite "Add".

| Laukas | Reikšmė / Aprašymas |
|---|---|
| Type | https |
| IP Address | All Unassigned — arba konkretus IP adresas, priskirtas jūsų serveriui, jei taikoma |
| Port | 443 |
| Hostname | Įveskite domeno pavadinimą tiksliai taip, kaip jis rodomas sertifikate (pvz. www.pavyzdys.lt) |
| SNI | Pažymėkite "Require Server Name Indication", jei kelios svetainės dalinasi šiuo IP adresu |
| SSL Certificate | Pasirinkite 5 žingsnyje įvestą Friendly Name |

Norėdami išsaugoti spustelėkite "OK". Jūsų svetainė dabar pasiekiama per HTTPS.
Kas yra SNI ir kada jį reikia įjungti?
SNI (Server Name Indication) yra TLS plėtinys, leidžiantis vienam IP adresui aptarnauti kelis SSL sertifikatus — vieną sertifikatą kiekvienam hostname. Be SNI IIS gali aptarnauti tik vieną sertifikatą kiekvienam IP adresui, neatsižvelgiant į hostname.
Įjunkite SNI šiais atvejais: (a) viename serverio IP adrese talpinate kelias HTTPS svetaines arba (b) jūsų serveris yra už bendro apkrovos balansavimo įrenginio. IIS 7.5 ir senesnės versijos nepalaiko SNI — kiekvienam domenui reikalingas atskiras IP. IIS 8 ir naujesnės versijos palaiko SNI natūraliai.
7 žingsnis — Peradresavimas iš HTTP į HTTPS
HTTPS susiejimo pridėjimas automatiškai neperadresuoja http:// srauto. Be peradresavimo kai kurie lankytojai — ir paieškos sistemų robotai — toliau pasieks neužšifruotą jūsų svetainės versiją.
Peradresavimas su IIS URL Rewrite moduliu (rekomenduojama)
- Atsisiųskite ir įdiekite URL Rewrite modulį iš Microsoft (nemokamai, per Web Platform Installer arba tiesiogiai atsisiųsdami).
- IIS Manager pasirinkite savo svetainę ir dukart spustelėkite "URL Rewrite".
- Pasirinkite "Add Rule(s)" → "Blank Rule". Pavadinkite taisyklę "HTTP to HTTPS".
- Match URL: Pattern = .*
- Pridėkite sąlygą: {HTTPS} atitinka šabloną "^OFF$".
- Veiksmas: Peradresuoti į https://{HTTP_HOST}/{R:0}, Peradresavimo tipas: Nuolatinis (301).
Kodėl tai svarbu SEO ir vartotojų pasitikėjimui: „Google" naudoja HTTPS kaip reitingavimo signalą nuo 2014 m. Konkrečiau, „Chrome" ir „Edge" kiekvieną HTTP puslapį žymi kaip „Nesaugus" — tai kenkia vartotojų pasitikėjimui ir didina atmetimo rodiklį; abu yra netiesioginiai neigiami SEO veiksniai. 301 peradresavimas taip pat perduoda nuorodos kapitalą iš HTTP URL adresų į HTTPS versiją.
8 žingsnis — SSL diegimo patikrinimas
Nemanykite, kad viskas veikia — patikrinkite. Prieš laikydami diegimą baigtu atlikite šiuos tris patikrinimus:
- Spynos piktograma naršyklėje: Atidarykite https://www.pavyzdys.lt „Chrome" arba „Edge" naršyklėje. Adreso juostoje esanti spynos piktograma patvirtina, kad HTTPS yra aktyvus.
- SSL Checker: Naudokite internetinį SSL tikrinimo įrankį, kad patikrintumėte sertifikatų grandinę, galiojimo pabaigos datą ir išdavėją.
- SSL Labs testas: Eikite į ssllabs.com/ssltest ir įveskite savo domeno pavadinimą. Siekite A arba A+ įvertinimo — žemesnis įvertinimas paprastai rodo konfigūracijos problemą, kurią reikia išspręsti.
✅ Nėra spynos piktogramos? Dažniausia priežastis yra neišsami sertifikatų grandinė — tarpinis sertifikatas (CA Bundle) nėra įdiegtas. Įdiekite jį į IIS sertifikatų saugyklą per certlm.msc naudodami MMC, tada paleiskite IIS iš naujo.
