Hoe een SSL-certificaat installeren op IIS
Om een SSL-certificaat op IIS te installeren, opent u IIS Manager, gaat u naar Server Certificates en uploadt u uw .crt-bestand via de optie Complete Certificate Request. Klik vervolgens met de rechtermuisknop op uw website, selecteer Edit Bindings > Add en maak een HTTPS-binding op poort 443. Van het aanmaken van de CSR tot het verifiëren van de installatie duurt het hele proces in de meeste Windows Server-omgevingen ongeveer 15 minuten. Deze gids legt elke stap uit met screenshots en behandelt ook volledig de meest voorkomende fouten en de configuratie van de omleiding van HTTP naar HTTPS.
Wilt u SSL-certificaten verkopen aan uw klanten?
Met het SSL-resellerprogramma van Domain Name API kunt u DV-, OV-, EV- en Wildcard-certificaten aanbieden via één enkele API.
Wat u moet voorbereiden voordat u SSL op IIS installeert
Zorg ervoor dat u het volgende klaar heeft voordat u IIS Manager opent. Als een van deze elementen ontbreekt, riskeert u halverwege het installatieproces vast te lopen.
| Vereiste | Omschrijving |
|---|---|
| Toegang tot IIS Manager | Internet Information Services Manager moet geïnstalleerd zijn en actief zijn op Windows Server. |
| Beheerdersrechten | U hebt lokale beheerdersrechten of domeinbeheerdersrechten op de server nodig om certificaten te installeren. Standaardgebruikersaccounts kunnen geen certificaten installeren. |
| CSR (Certificate Signing Request) | Aangemaakt in stap 2 via IIS Manager. De CSR genereert ook de privésleutel — beide moeten op dezelfde server blijven. |
| SSL-certificaatbestand (.crt) | Uitgegeven door de CA (Certificate Authority) nadat de domeinvalidatie is voltooid. |
| CA Bundle / Tussenliggend certificaat | Door de CA verstrekt samen met het certificaat. Verplicht voor een volledige vertrouwensketen — sla dit niet over. |
| Privésleutel | Automatisch gegenereerd bij het aanmaken van de CSR in IIS. Blijft op de server en kan niet als afzonderlijk bestand worden gedownload. |
⚠️ Als u uw CSR op een andere server hebt aangemaakt, kunt u de methode Complete Certificate Request niet gebruiken. Exporteer in plaats daarvan een .pfx-bestand (certificaat + privésleutel samen) van de oorspronkelijke server en gebruik de optie 'Import' in IIS.
Stap 1 — Het juiste SSL-certificaat kiezen
SSL-certificaten zijn geen oplossing die voor iedereen hetzelfde is. Het type dat u nodig heeft, hangt af van het aantal domeinen dat u wilt beveiligen en het niveau van identiteitsverificatie dat uw gebruikers verwachten.
| Type | Wat wordt gevalideerd | Voor wie geschikt | Voorbeeld |
|---|---|---|---|
| DV SSL | Alleen domeinbezit | Blog, persoonlijke website, klein bedrijf | www.voorbeeld.nl |
| OV SSL | Domein + organisatie-identiteit | Bedrijfswebsites, SaaS-platforms | Officiële bedrijfswebsite |
| EV SSL | Uitgebreide bedrijfsvalidatie | E-commerce, financiën — hoogste betrouwbaarheidsniveau | checkout.voorbeeld.nl |
| Wildcard SSL | Domein + alle subdomeinen van het eerste niveau | Hostingproviders, structuren met veel subdomeinen | *.voorbeeld.nl |
Voor hostingproviders en domeinresellers is Wildcard SSL doorgaans de meest praktische keuze — één certificaat dekt alle subdomeinen en u hoeft elk afzonderlijk niet te verlengen.
Verkoopt u SSL aan uw klanten?
Het SSL-resellerprogramma van Domain Name API geeft u toegang tot DV-, OV-, EV- en Wildcard-certificaten tegen concurrerende resellerprijzen.
Stap 2 — IIS Manager openen
Druk op Windows Server op Win + R, typ inetmgr en druk op Enter. U kunt ook zoeken naar "IIS" in het startmenu en Internet Information Services (IIS) Manager selecteren.

ℹ️ IIS Manager niet gevonden? Volg dit pad: Serverbeheer → Rollen en onderdelen toevoegen → Webserver (IIS). Op Windows-desktopversies: Configuratiescherm → Programma's → Windows-onderdelen in- of uitschakelen → Internet Information Services.
Stap 3 — Server Certificates openen
Klik in het linkerdeelvenster van IIS Manager op de naam van uw server. Zoek in het centrale hoofdvenster het pictogram "Server Certificates" en dubbelklik erop.

Stap 4 — CSR aanmaken en certificaatbestand uploaden
Als u nog geen CSR heeft aangemaakt, voltooi dan eerst deze stap voordat u het certificaatbestand uploadt.
Hoe een CSR aanmaken
- Klik op "Create Certificate Request…" in het deelvenster Actions.
- Vul de velden voor Distinguished Name in — de Common Name moet exact overeenkomen met de domeinnaam die u beveiligt.
- Stel de sleutellengte in op 2048 (minimum) of 4096 voor sterkere versleuteling.
- Sla het .txt-bestand op — u moet de inhoud ervan in het bestelformulier van de CA plakken.
Keer terug naar deze stap nadat de CA het certificaat heeft uitgegeven.
Het certificaat installeren — Complete Certificate Request
Klik op "Complete Certificate Request…" in het deelvenster Actions om de installatiewizard te openen.

⚠️ Heeft u de CSR op een andere server aangemaakt? In dat geval werkt Complete Certificate Request niet. Exporteer een .pfx-bestand (PKCS#12) — inclusief de privésleutel — van de oorspronkelijke server en gebruik de optie 'Import' in het deelvenster Actions onder Server Certificates.
Als u migreert van cPanel, Plesk of een Linux-server naar IIS: u kunt uw bestaande certificaat niet rechtstreeks in IIS importeren. Converteer het certificaat eerst naar het .pfx-formaat (PKCS#12) met een OpenSSL-opdracht of een online PEM→PFX-converter, en gebruik vervolgens Server Certificates → Import in IIS. De OpenSSL-opdracht is:
openssl pkcs12 -export -out certificaat.pfx -inkey prive.key -in certificaat.crt -certfile cabundle.crt
Stap 5 — Certificaatbestand selecteren en Friendly Name invoeren
Het venster "Specify Certificate Authority Response" wordt geopend. Vul de drie velden als volgt in:
| Veld | Wat in te voeren |
|---|---|
| File name (.cer) | Selecteer uw .crt-bestand via de knop "…". IIS accepteert zowel .crt- als .cer-extensies. |
| Friendly name | Een korte naam die u herkent — bijv. voorbeeld.nl-2025. U selecteert deze naam opnieuw in stap 6. |
| Certificate store | Selecteer "Personal". Als het certificaat daarna niet verschijnt, probeer dan "Web Hosting". |

Klik op "OK" nadat u alle velden heeft ingevuld. Het certificaat is nu geüpload naar de server. Het verwerkt nog geen HTTPS-verkeer — dat gebeurt in de volgende stap.
Stap 6 — HTTPS-binding aanmaken op poort 443
Het certificaat is geïnstalleerd, maar IIS weet nog niet welke website het moet gebruiken. U moet een binding aanmaken die poort 443 koppelt aan uw website en uw certificaat.
Klik met de rechtermuisknop op uw website in het linkerdeelvenster en klik op "Edit Bindings…". Klik in het venster Site Bindings op "Add".

| Veld | Waarde / Omschrijving |
|---|---|
| Type | https |
| IP Address | All Unassigned — of het specifieke IP-adres dat aan uw server is toegewezen, indien van toepassing |
| Port | 443 |
| Hostname | Voer de domeinnaam in precies zoals deze in het certificaat staat (bijv. www.voorbeeld.nl) |
| SNI | Vink "Require Server Name Indication" aan als meerdere websites dit IP-adres delen |
| SSL Certificate | Selecteer de Friendly Name die u in stap 5 heeft ingevoerd |

Klik op "OK" om op te slaan. Uw website is nu bereikbaar via HTTPS.
Wat is SNI en wanneer moet u het inschakelen?
SNI (Server Name Indication) is een TLS-extensie waarmee één IP-adres meerdere SSL-certificaten kan bedienen — één certificaat per hostnaam. Zonder SNI kan IIS slechts één certificaat per IP-adres bedienen, ongeacht de hostnaam.
Schakel SNI in de volgende gevallen in: (a) u host meerdere HTTPS-websites op één server-IP, of (b) uw server bevindt zich achter een gedeelde load balancer. IIS 7.5 en eerdere versies ondersteunen SNI niet — er is een afzonderlijk IP per domein vereist. IIS 8 en latere versies ondersteunen SNI van nature.
Stap 7 — Omleiding van HTTP naar HTTPS
Het toevoegen van een HTTPS-binding leidt http://-verkeer niet automatisch om. Zonder omleiding blijven sommige bezoekers — en zoekmachinebots — de niet-versleutelde versie van uw website bereiken.
Omleiding met de IIS URL Rewrite-module (aanbevolen)
- Download en installeer de URL Rewrite-module van Microsoft (gratis, via Web Platform Installer of directe download).
- Selecteer uw website in IIS Manager en dubbelklik op "URL Rewrite".
- Kies "Add Rule(s)" → "Blank Rule". Noem de regel "HTTP to HTTPS".
- Match URL: Pattern = .*
- Voeg een voorwaarde toe: {HTTPS} komt overeen met het patroon "^OFF$".
- Actie: Omleiden naar https://{HTTP_HOST}/{R:0}, Type omleiding: Permanent (301).
Waarom dit belangrijk is voor SEO en gebruikersvertrouwen: Google gebruikt HTTPS al sinds 2014 als rankingsignaal. Concreter: Chrome en Edge markeren elke HTTP-pagina als 'Niet veilig' — dit ondermijnt het vertrouwen van gebruikers en verhoogt het bouncepercentage; beide zijn indirecte negatieve SEO-factoren. Een 301-omleiding brengt ook de linkwaarde over van HTTP-URL's naar de HTTPS-versie.
Stap 8 — SSL-installatie verifiëren
Neem niet aan dat alles werkt — verifieer het. Voer deze drie controles uit voordat u de installatie als voltooid beschouwt:
- Slotpictogram in de browser: Open https://www.voorbeeld.nl in Chrome of Edge. Het slotpictogram in de adresbalk bevestigt dat HTTPS actief is.
- SSL Checker: Gebruik een online SSL-controletool om de certificaatketen, de vervaldatum en de uitgever te verifiëren.
- SSL Labs-test: Ga naar ssllabs.com/ssltest en voer uw domeinnaam in. Streef naar een beoordeling van A of A+ — een lagere beoordeling wijst doorgaans op een configuratieprobleem dat moet worden opgelost.
✅ Geen slotpictogram? De meest voorkomende oorzaak is een onvolledige certificaatketen — het tussenliggende certificaat (CA Bundle) is niet geïnstalleerd. Installeer het in het IIS-certificaatarchief via certlm.msc met MMC en start vervolgens IIS opnieuw.
