Como instalar um certificado SSL no IIS
Para instalar um certificado SSL no IIS, abra o Gestor do IIS, aceda a Server Certificates e carregue o seu ficheiro .crt através da opção Complete Certificate Request. Em seguida, clique com o botão direito no seu site, selecione Edit Bindings > Add e crie um binding HTTPS na porta 443. Da criação do CSR à verificação da instalação, todo o processo demora cerca de 15 minutos na maioria dos ambientes Windows Server. Este guia explica cada passo com capturas de ecrã e aborda também de forma completa os erros mais comuns e o redirecionamento de HTTP para HTTPS.
Quer vender certificados SSL aos seus clientes?
Com o programa de revendedores SSL da Domain Name API, pode oferecer certificados DV, OV, EV e Wildcard através de uma única API.
O que precisa de ter pronto antes de começar a instalação SSL no IIS
Antes de abrir o Gestor do IIS, certifique-se de que tem tudo o seguinte preparado. Se algum destes elementos estiver em falta, corre o risco de ficar bloqueado a meio do processo de instalação.
| Requisito | Descrição |
|---|---|
| Acesso ao Gestor do IIS | O Internet Information Services Manager tem de estar instalado e em execução no Windows Server. |
| Direitos de administrador | Precisa de privilégios de administrador local ou de domínio no servidor para instalar certificados. As contas de utilizador padrão não podem instalar certificados. |
| CSR (Certificate Signing Request) | Criado no passo 2 através do Gestor do IIS. O CSR também gera a chave privada — ambos devem permanecer no mesmo servidor. |
| Ficheiro do certificado SSL (.crt) | Emitido pela CA (Autoridade de Certificação) após a conclusão da validação do domínio. |
| CA Bundle / Certificado intermédio | Fornecido pela CA juntamente com o certificado. Indispensável para uma cadeia de confiança completa — não o ignore. |
| Chave privada | Gerada automaticamente quando se cria o CSR no IIS. Permanece no servidor e não pode ser transferida como ficheiro separado. |
⚠️ Se criou o CSR noutro servidor, não pode utilizar o método Complete Certificate Request. Em alternativa, exporte um ficheiro .pfx (certificado + chave privada juntos) do servidor original e utilize a opção 'Import' no IIS.
Passo 1 — Escolher o certificado SSL certo
Os certificados SSL não são uma solução única para todos. O tipo de que necessita depende de quantos domínios pretende proteger e do nível de verificação de identidade que os seus utilizadores esperam.
| Tipo | O que é validado | Para quem é indicado | Exemplo |
|---|---|---|---|
| DV SSL | Apenas a propriedade do domínio | Blog, site pessoal, pequena empresa | www.exemplo.pt |
| OV SSL | Domínio + identidade da organização | Sites empresariais, plataformas SaaS | Site web da empresa |
| EV SSL | Validação empresarial alargada | E-commerce, finanças — nível de confiança mais elevado | checkout.exemplo.pt |
| Wildcard SSL | Domínio + todos os subdomínios de primeiro nível | Fornecedores de alojamento, estruturas com muitos subdomínios | *.exemplo.pt |
Para fornecedores de alojamento e revendedores de domínios, o Wildcard SSL é geralmente a escolha mais prática — um único certificado cobre todos os subdomínios e não é necessário renovar cada um separadamente.
Vende SSL aos seus clientes?
O programa de revendedores SSL da Domain Name API dá-lhe acesso a certificados DV, OV, EV e Wildcard a preços competitivos para revendedores.
Passo 2 — Abrir o Gestor do IIS
No Windows Server, prima Win + R, escreva inetmgr e prima Enter. Em alternativa, pesquise "IIS" no menu Iniciar e selecione Internet Information Services (IIS) Manager.

ℹ️ Gestor do IIS não encontrado? Siga este caminho: Gestor do Servidor → Adicionar funções e funcionalidades → Servidor Web (IIS). Nas versões de ambiente de trabalho do Windows: Painel de Controlo → Programas → Ativar ou desativar funcionalidades do Windows → Internet Information Services.
Passo 3 — Abrir Server Certificates
No painel esquerdo do Gestor do IIS, clique no nome do seu servidor. No painel central, localize o ícone "Server Certificates" e faça duplo clique nele.

Passo 4 — Criar o CSR e carregar o ficheiro do certificado
Se ainda não criou um CSR, conclua este passo antes de carregar o ficheiro do certificado.
Como criar um CSR
- Clique em "Create Certificate Request…" no painel Actions.
- Preencha os campos Distinguished Name — o Common Name tem de corresponder exatamente ao nome de domínio a proteger.
- Defina o comprimento da chave para 2048 (mínimo) ou 4096 para uma encriptação mais robusta.
- Guarde o ficheiro .txt — precisará de colar o conteúdo no formulário de encomenda da CA.
Regresse a este passo depois de a CA ter emitido o certificado.
Instalar o certificado — Complete Certificate Request
Clique em "Complete Certificate Request…" no painel Actions para abrir o assistente de instalação.

⚠️ Criou o CSR noutro servidor? O Complete Certificate Request não funcionará nesse caso. Exporte um ficheiro .pfx (PKCS#12) — incluindo a chave privada — do servidor original e utilize a opção 'Import' no painel Actions em Server Certificates.
Se está a migrar do cPanel, Plesk ou de um servidor Linux para o IIS: não pode importar diretamente o seu certificado existente para o IIS. Converta primeiro o certificado para o formato .pfx (PKCS#12) com um comando OpenSSL ou um conversor PEM→PFX online, e depois utilize Server Certificates → Import no IIS. O comando OpenSSL é:
openssl pkcs12 -export -out certificado.pfx -inkey privado.key -in certificado.crt -certfile cabundle.crt
Passo 5 — Selecionar o ficheiro do certificado e introduzir o Friendly Name
Abre-se a janela "Specify Certificate Authority Response". Preencha os três campos da seguinte forma:
| Campo | O que introduzir |
|---|---|
| File name (.cer) | Selecione o seu ficheiro .crt através do botão "…". O IIS aceita as extensões .crt e .cer. |
| Friendly name | Uma etiqueta curta que reconhecerá — ex. exemplo.pt-2025. Selecionará este nome no passo 6. |
| Certificate store | Selecione "Personal". Se o certificado não aparecer depois, experimente "Web Hosting". |

Clique em "OK" depois de preencher todos os campos. O certificado está agora carregado no servidor. Ainda não serve tráfego HTTPS — isso acontece no passo seguinte.
Passo 6 — Criar um binding HTTPS na porta 443
O certificado está instalado, mas o IIS ainda não sabe qual o site que deve utilizá-lo. Precisa de criar um binding que ligue a porta 443 ao seu site e ao seu certificado.
Clique com o botão direito no seu site no painel esquerdo e clique em "Edit Bindings…". Na janela Site Bindings, clique em "Add".

| Campo | Valor / Descrição |
|---|---|
| Type | https |
| IP Address | All Unassigned — ou o IP específico atribuído ao seu servidor, se aplicável |
| Port | 443 |
| Hostname | Introduza o nome de domínio exatamente como aparece no certificado (ex. www.exemplo.pt) |
| SNI | Assinale "Require Server Name Indication" se vários sites partilham este endereço IP |
| SSL Certificate | Selecione o Friendly Name introduzido no passo 5 |

Clique em "OK" para guardar. O seu site está agora acessível via HTTPS.
O que é o SNI e quando deve ser ativado?
O SNI (Server Name Indication) é uma extensão TLS que permite a um único endereço IP servir múltiplos certificados SSL — um certificado por hostname. Sem SNI, o IIS só pode servir um certificado por endereço IP, independentemente do hostname.
Ative o SNI nas seguintes situações: (a) aloja vários sites HTTPS num único IP de servidor, ou (b) o seu servidor está por detrás de um balanceador de carga partilhado. O IIS 7.5 e versões anteriores não suportam SNI — é necessário um IP separado por domínio. O IIS 8 e versões posteriores suportam SNI nativamente.
Passo 7 — Redirecionamento de HTTP para HTTPS
Adicionar um binding HTTPS não redireciona automaticamente o tráfego http://. Sem redirecionamento, alguns visitantes — e os bots dos motores de pesquisa — continuarão a aceder à versão não encriptada do seu site.
Redirecionamento com o módulo URL Rewrite do IIS (recomendado)
- Transfira e instale o módulo URL Rewrite da Microsoft (gratuito, através do Web Platform Installer ou transferência direta).
- Selecione o seu site no Gestor do IIS e faça duplo clique em "URL Rewrite".
- Escolha "Add Rule(s)" → "Blank Rule". Dê o nome "HTTP to HTTPS" à regra.
- Match URL: Pattern = .*
- Adicione uma condição: {HTTPS} corresponde ao padrão "^OFF$".
- Ação: Redirecionar para https://{HTTP_HOST}/{R:0}, Tipo de redirecionamento: Permanente (301).
Por que é importante para SEO e confiança dos utilizadores: o Google utiliza o HTTPS como sinal de classificação desde 2014. De forma mais concreta, o Chrome e o Edge assinalam todas as páginas HTTP como 'Não seguro' — o que corrói a confiança dos utilizadores e aumenta a taxa de rejeição; ambos são fatores SEO negativos indiretos. Um redirecionamento 301 também transfere a link equity dos URLs HTTP para a versão HTTPS.
Passo 8 — Verificar a instalação SSL
Não presuma que está a funcionar — verifique. Realize estes três controlos antes de considerar a instalação concluída:
- Ícone de cadeado no browser: Abra https://www.exemplo.pt no Chrome ou Edge. O ícone de cadeado na barra de endereço confirma que o HTTPS está ativo.
- SSL Checker: Utilize uma ferramenta SSL checker online para verificar a cadeia de certificados, a data de expiração e o emissor.
- Teste SSL Labs: Aceda a ssllabs.com/ssltest e introduza o seu nome de domínio. Aponte para a classificação A ou A+ — uma classificação inferior indica normalmente um problema de configuração que precisa de ser resolvido.
✅ Sem ícone de cadeado? A causa mais comum é uma cadeia de certificados incompleta — o certificado intermédio (CA Bundle) não está instalado. Instale-o no arquivo de certificados do IIS através do certlm.msc com o MMC, e depois reinicie o IIS.
