Jak zainstalować certyfikat SSL na IIS
Aby zainstalować certyfikat SSL na IIS, otwórz Menedżera IIS, przejdź do Server Certificates i prześlij plik .crt za pomocą opcji Complete Certificate Request. Następnie kliknij prawym przyciskiem myszy na swoją witrynę, wybierz Edit Bindings > Add i utwórz powiązanie HTTPS na porcie 443. Od utworzenia CSR do weryfikacji instalacji cały proces zajmuje około 15 minut w większości środowisk Windows Server. Ten przewodnik wyjaśnia każdy krok ze zrzutami ekranu i w pełni omawia najczęstsze błędy oraz przekierowanie z HTTP na HTTPS.
Chcesz sprzedawać certyfikaty SSL swoim klientom?
Dzięki programowi dla resellerów SSL od Domain Name API możesz oferować certyfikaty DV, OV, EV i Wildcard za pośrednictwem jednego API.
Co musisz przygotować przed instalacją SSL na IIS
Zanim otworzysz Menedżera IIS, upewnij się, że masz przygotowane wszystko co poniżej. Jeśli brakuje któregokolwiek z tych elementów, ryzykujesz utknięcie w połowie procesu instalacji.
| Wymaganie | Opis |
|---|---|
| Dostęp do Menedżera IIS | Internet Information Services Manager musi być zainstalowany i działać na Windows Server. |
| Uprawnienia administratora | Do instalowania certyfikatów potrzebujesz uprawnień lokalnego administratora lub administratora domeny na serwerze. Standardowe konta użytkowników nie mogą instalować certyfikatów. |
| CSR (Certificate Signing Request) | Tworzony w kroku 2 za pośrednictwem Menedżera IIS. CSR generuje również klucz prywatny — oba muszą pozostać na tym samym serwerze. |
| Plik certyfikatu SSL (.crt) | Wystawiany przez CA (Urząd Certyfikacji) po zakończeniu walidacji domeny. |
| CA Bundle / Certyfikat pośredni | Dostarczany przez CA wraz z certyfikatem. Niezbędny dla pełnego łańcucha zaufania — nie pomijaj tego elementu. |
| Klucz prywatny | Generowany automatycznie podczas tworzenia CSR w IIS. Pozostaje na serwerze i nie może być pobrany jako osobny plik. |
⚠️ Jeśli utworzyłeś CSR na innym serwerze, nie możesz użyć metody Complete Certificate Request. Zamiast tego wyeksportuj plik .pfx (certyfikat + klucz prywatny razem) z oryginalnego serwera i skorzystaj z opcji 'Import' w IIS.
Krok 1 — Wybór odpowiedniego certyfikatu SSL
Certyfikaty SSL nie są rozwiązaniem uniwersalnym. Typ, którego potrzebujesz, zależy od liczby domen do zabezpieczenia oraz poziomu weryfikacji tożsamości oczekiwanego przez użytkowników.
| Typ | Co jest weryfikowane | Dla kogo jest przeznaczony | Przykład |
|---|---|---|---|
| DV SSL | Tylko własność domeny | Blog, strona osobista, mała firma | www.przyklad.pl |
| OV SSL | Domena + tożsamość organizacji | Witryny korporacyjne, platformy SaaS | Strona firmowa |
| EV SSL | Rozszerzona weryfikacja firmy | E-commerce, finanse — najwyższy poziom zaufania | checkout.przyklad.pl |
| Wildcard SSL | Domena + wszystkie subdomeny pierwszego poziomu | Dostawcy hostingu, struktury z wieloma subdomenami | *.przyklad.pl |
Dla dostawców hostingu i resellerów domen Wildcard SSL jest zazwyczaj najbardziej praktycznym wyborem — jeden certyfikat obejmuje wszystkie subdomeny i nie trzeba odnawiać każdej z nich osobno.
Sprzedajesz SSL swoim klientom?
Program dla resellerów SSL od Domain Name API daje ci dostęp do certyfikatów DV, OV, EV i Wildcard w konkurencyjnych cenach resellerskich.
Krok 2 — Otwieranie Menedżera IIS
Na Windows Server naciśnij Win + R, wpisz inetmgr i naciśnij Enter. Możesz też wyszukać "IIS" w menu Start i wybrać Internet Information Services (IIS) Manager.

ℹ️ Nie możesz znaleźć Menedżera IIS? Postępuj według tej ścieżki: Menedżer serwera → Dodaj role i funkcje → Serwer sieci Web (IIS). Na desktopowych wersjach Windows: Panel sterowania → Programy → Włącz lub wyłącz funkcje systemu Windows → Internet Information Services.
Krok 3 — Otwieranie Server Certificates
W lewym panelu Menedżera IIS kliknij nazwę swojego serwera. W centralnym panelu znajdź ikonę "Server Certificates" i kliknij dwukrotnie na nią.

Krok 4 — Tworzenie CSR i przesyłanie pliku certyfikatu
Jeśli nie utworzyłeś jeszcze CSR, wykonaj ten krok przed przesłaniem pliku certyfikatu.
Jak utworzyć CSR
- Kliknij "Create Certificate Request…" w panelu Actions.
- Wypełnij pola Distinguished Name — Common Name musi dokładnie odpowiadać nazwie domeny, którą zabezpieczasz.
- Ustaw długość klucza na 2048 (minimum) lub 4096 dla silniejszego szyfrowania.
- Zapisz plik .txt — jego zawartość będziesz musiał wkleić do formularza zamówienia CA.
Wróć do tego kroku po tym, jak CA wystawi certyfikat.
Instalowanie certyfikatu — Complete Certificate Request
Kliknij "Complete Certificate Request…" w panelu Actions, aby otworzyć kreatora instalacji.

⚠️ Czy utworzyłeś CSR na innym serwerze? Complete Certificate Request nie zadziała w tym przypadku. Wyeksportuj plik .pfx (PKCS#12) — wraz z kluczem prywatnym — z oryginalnego serwera i skorzystaj z opcji 'Import' w panelu Actions pod Server Certificates.
Jeśli przenosisz się z cPanel, Plesk lub serwera Linux na IIS: nie możesz bezpośrednio zaimportować istniejącego certyfikatu do IIS. Najpierw przekonwertuj certyfikat do formatu .pfx (PKCS#12) za pomocą polecenia OpenSSL lub konwertera PEM→PFX online, a następnie użyj Server Certificates → Import w IIS. Polecenie OpenSSL:
openssl pkcs12 -export -out certyfikat.pfx -inkey prywatny.key -in certyfikat.crt -certfile cabundle.crt
Krok 5 — Wybór pliku certyfikatu i wprowadzenie Friendly Name
Otworzy się okno "Specify Certificate Authority Response". Wypełnij trzy pola w następujący sposób:
| Pole | Co wpisać |
|---|---|
| File name (.cer) | Wybierz plik .crt za pomocą przycisku "…". IIS akceptuje zarówno rozszerzenie .crt, jak i .cer. |
| Friendly name | Krótka etykieta, po której rozpoznasz certyfikat — np. przyklad.pl-2025. Tę nazwę wybierzesz w kroku 6. |
| Certificate store | Wybierz "Personal". Jeśli certyfikat potem się nie pojawi, spróbuj "Web Hosting". |

Kliknij "OK" po wypełnieniu wszystkich pól. Certyfikat jest teraz przesłany na serwer. Nie obsługuje jeszcze ruchu HTTPS — to nastąpi w następnym kroku.
Krok 6 — Tworzenie powiązania HTTPS na porcie 443
Certyfikat jest zainstalowany, ale IIS nie wie jeszcze, która witryna ma go używać. Musisz utworzyć powiązanie łączące port 443 z Twoją witryną i certyfikatem.
Kliknij prawym przyciskiem myszy na swoją witrynę w lewym panelu i kliknij "Edit Bindings…". W oknie Site Bindings kliknij "Add".

| Pole | Wartość / Opis |
|---|---|
| Type | https |
| IP Address | All Unassigned — lub konkretny adres IP przypisany do Twojego serwera, jeśli dotyczy |
| Port | 443 |
| Hostname | Wprowadź nazwę domeny dokładnie tak, jak widnieje w certyfikacie (np. www.przyklad.pl) |
| SNI | Zaznacz "Require Server Name Indication", jeśli wiele witryn współdzieli ten adres IP |
| SSL Certificate | Wybierz Friendly Name wprowadzony w kroku 5 |

Kliknij "OK", aby zapisać. Twoja witryna jest teraz dostępna przez HTTPS.
Czym jest SNI i kiedy należy je włączyć?
SNI (Server Name Indication) to rozszerzenie TLS umożliwiające jednemu adresowi IP obsługę wielu certyfikatów SSL — po jednym na każdy hostname. Bez SNI IIS może obsługiwać tylko jeden certyfikat na adres IP, niezależnie od hostname.
Włącz SNI w następujących przypadkach: (a) hostujesz wiele witryn HTTPS na jednym adresie IP serwera, lub (b) Twój serwer znajduje się za współdzielonym load balancerem. IIS 7.5 i wcześniejsze wersje nie obsługują SNI — wymagają osobnego adresu IP dla każdej domeny. IIS 8 i nowsze wersje obsługują SNI natywnie.
Krok 7 — Przekierowanie z HTTP na HTTPS
Dodanie powiązania HTTPS nie przekierowuje automatycznie ruchu http://. Bez przekierowania część odwiedzających — i boty wyszukiwarek — nadal będzie trafiać na niezaszyfrowaną wersję Twojej witryny.
Przekierowanie za pomocą modułu URL Rewrite dla IIS (zalecane)
- Pobierz i zainstaluj moduł URL Rewrite od Microsoft (bezpłatny, przez Web Platform Installer lub bezpośrednie pobranie).
- Wybierz witrynę w Menedżerze IIS i kliknij dwukrotnie "URL Rewrite".
- Wybierz "Add Rule(s)" → "Blank Rule". Nazwij regułę "HTTP to HTTPS".
- Match URL: Pattern = .*
- Dodaj warunek: {HTTPS} pasuje do wzorca "^OFF$".
- Akcja: Przekieruj na https://{HTTP_HOST}/{R:0}, Typ przekierowania: Trwałe (301).
Dlaczego jest to ważne dla SEO i zaufania użytkowników: Google używa HTTPS jako sygnału rankingowego od 2014 roku. Konkretnie: Chrome i Edge oznaczają każdą stronę HTTP jako „Niezabezpieczona" — co podważa zaufanie użytkowników i zwiększa współczynnik odrzuceń; oba czynniki pośrednio negatywnie wpływają na SEO. Przekierowanie 301 przenosi również link equity z adresów URL HTTP na wersję HTTPS.
Krok 8 — Weryfikacja instalacji SSL
Nie zakładaj, że wszystko działa — sprawdź to. Wykonaj te trzy kontrole, zanim uznasz instalację za zakończoną:
- Ikona kłódki w przeglądarce: Otwórz https://www.przyklad.pl w Chrome lub Edge. Ikona kłódki na pasku adresu potwierdza, że HTTPS jest aktywny.
- SSL Checker: Skorzystaj z narzędzia SSL checker online, aby zweryfikować łańcuch certyfikatów, datę wygaśnięcia i wystawcę.
- Test SSL Labs: Przejdź na ssllabs.com/ssltest i wprowadź swoją nazwę domeny. Dąż do oceny A lub A+ — niższa ocena zazwyczaj wskazuje na problem z konfiguracją, który należy naprawić.
✅ Brak ikony kłódki? Najczęstszą przyczyną jest niekompletny łańcuch certyfikatów — certyfikat pośredni (CA Bundle) nie jest zainstalowany. Zainstaluj go w magazynie certyfikatów IIS przez certlm.msc za pomocą MMC, a następnie uruchom ponownie IIS.
